Zoom為何從科網新寵，變成深陷資安醜聞的眾矢之的？- 方展策

在新冠肺炎疫情下，遠距工作與網上教學已成為上班族與學生們的日常作息常態，因而令視像會議軟件的需求大增，其中以Zoom最受歡迎，其用戶人數在疫情期間暴増20倍，達至2億之數！但隨著大量用戶湧入，Zoom卻接連被爆出存有資訊安全漏洞，不但遭多國政府部門和大型企業棄用，更要面對多宗法律訴訟，彷彿一下子從天堂跌落到地獄。到底該公司出了甚麼問題呢？

其實，市面上不乏視像會議軟件，當中更有科技巨擘的出品如Google Meet、Microsoft Teams等，為甚麼爆紅的是Zoom呢？只因Zoom使用起來真的非常方便。會議主持人只需向參與者發送一個簡單的連結，點一下連結即可進入會議；又或者發給參與者一組會議ID編號，輸入後就可參與會議。

如此便利的操作方式，自然吸引了一大群因疫情而初次接觸視像會議的人嘗試採用；加上Zoom把免費版本只限40分鐘內10人與會的規定放寬到100人，如是學校用戶的話，更不設40分鐘限制，結果令Zoom火速爆紅起來。除網上授課外，還有人透過Zoom舉行生日會、音樂會、宗教聚會，甚至葬禮等。

不過，便利操作背後卻隱藏了資安問題。Zoom的會議連結或ID很容易被黑客截取，進而闖入會議騷擾與會者，造成一連串「Zoom轟炸（Zoombombing）」事件。較早前，新加坡一群女學生透過Zoom上地理課時，畫面突然顯示猥褻圖像，並有一名奇怪男子叫女同學展示私人部位，致使新加坡教育部一度叫停Zoom教學。

更嚴重的是，Zoom自3月下旬起屢被揭發存有不同的保安漏洞，爆發用戶私隱洩漏危機。3月26日，科技網站Motherboard爆料指，iOS版Zoom軟件在用戶不知情下，將其個人資料傳送給Facebook。

3月31日，網絡安全公司VMRay的研究人員指出，Mac版Zoom軟件在不需用戶作最後確認的情況下，便會自行將軟件安裝到Mac機，做法近似惡意程式。另一網名為「Objective-See」的資安研究人員亦發現，Mac版Zoom軟件竟可偷偷存取Mac機的視像鏡頭和收音咪。新聞網站The Intercept更揭露，Zoom宣稱軟件提供的端對端加密技術，原來僅應用在文字通訊上，視像和聲音通訊反而沒有。

加拿大多倫多大學網絡研究機構「公民實驗室（Citizen Lab）」於4月3日發表的研究報告，更對Zoom帶來沉重打擊。Citizen Lab指出，Zoom宣稱軟件採用AES-256加密算法，但測試後發現只是用上規格低一級的AES-128加密金鑰，同時更是在安全性較差的ECB電子密碼本模式下執行。該實驗室又發現，即使Zoom用戶身處北美地區，加密金鑰有機會經由中國的伺服器產生與傳送。因此，Citizen Lab建議，如會議內容涉及高度機密資料，不宜使用Zoom。

面對各方指摘，Zoom創辦人暨執行長袁征也心知不妙，多次親自出面撲火。4月1日，他在官方網誌上親自道歉，承諾在90天內暫停開發新功能，將所有資源調撥至修補資安漏洞。Citizen Lab報告發表後，袁征又即日在網誌上解釋，為應付近期暴增的用戶量，匆忙中「錯誤地」將2個位於中國的數據中心加入到備用伺服器名單，以致出現美國服務連線至中國伺服器的情況，現已修復問題。

儘管袁征積極表現出坦承錯誤的態度，惟對Zoom的不信任已在全球各處遍地開花。美國太空總署、英國國防部、澳洲國防部、德國外交部、台灣政府機構均嚴禁部門人員使用Zoom。私人企業方面，Google母公司Alphabet禁止員工在公司電腦使用Zoom；電動車廠商Tesla與航太科技公司SpaceX也不准員工再用Zoom；更有消息指，渣打銀行以網絡安全為由，已要求員工停用Zoom。

有見及此，Zoom遂宣布成立資訊安全長會議及顧問委員會，找來Netflix、Uber等多家公司的資訊安全長擔任成員，又招攬Facebook前資訊安全長史塔莫斯（Alex Stamos）出任外部資安顧問，以挽回用戶信心。

可是，令用戶難以繼續信任Zoom的狀況，卻又持續發生。以色列網絡安全公司Sixgill發現，有黑客於4月1日在暗網（dark web）討論區貼出352個Zoom帳戶的名單。另一家網絡安全公司Cyble亦追蹤到一名黑客，自4月起在黑客論壇張貼Zoom帳戶資料，包含佛羅里達大學、佛蒙特大學等290間院校的用戶電郵地址與密碼。Cyble更發現，有逾53萬個Zoom帳戶資料在論壇上開賣，於是嘗試買下所有資料，最終以每個帳戶0.002美元（約0.016港元）的價格成功購入，當中竟然有摩根大通、花旗銀行等金融機構的用戶資料。

除此以外，Zoom還要被多宗官司纏身。美國加州已有首宗基於《消費者私隱法案》，控告Zoom對用戶私隱保護不周的訴訟。另外，Pomerantz律師事務所宣布代表Zoom股東向該公司及部分高層提出集體訴訟，認為Zoom誇大產品的私隱保護標準，隱瞞軟件本身設計漏洞，結果被傳媒揭發後公司股價大跌，故此要求賠償。

Zoom的成功之處在於軟件操作簡單便利，有效簡化繁複的視像會議作業流程，但也因為過於專注便利性，以致忽略了產品安全性。袁征也承認，安全性與便利性之間可能存有矛盾，更坦言：「或許是時候重新審視這一點了。」這究竟會是「亡羊補牢，未為晚也」，還是「覆水難收，無以為繼」呢？Zoom往後如何走下去，還有待觀望。

原文：經濟通

#科技 #社會 #商業 #生活

線上開會怕私隱外洩？一文學識多個網絡安全對策 – Yan Law

早在新冠肺炎疫情爆發初期，為降低病毒在社區內傳播的風險，不少負責任的企業鼓勵或允許員工Home Office，沒想到竟然令網上會議軟件Zoom突然爆紅，用戶數量由去年12月的一千萬激增至今年3月的兩億！偏偏這時Zoom被連環爆出私隱外洩、駭客入侵、保安漏洞等醜聞，引起公眾關注網絡安全問題，隨後美國、英國、德國、加拿大、台灣、新加坡等地的政商界亦以「資安漏洞」為由宣布停用使用此軟件，促使更多人聞Zoom色變。

在眾多網上會議軟件中，Zoom因為操作容易、功能多樣而大受歡迎（只要透過邀請網址或查詢會議ID的方式即可以電腦、手機或平板來進行視訊會議，還能錄下視訊過程、共享螢幕畫面、進行即時文字對話等）；現在卻因資安設計不良而被棄？上周三（4月8日）Zoom創辦人兼行政總裁袁征舉行YouTube直播，親自就私隱漏洞問題向用戶公開致歉、承諾將全力修正問題，並介紹軟件的私隱更新。究竟Zoom還安全與否？如果平日有需要用Zoom或其他視像會議軟件，又該如何保護自己？

編者想，絕大多數人擔心的是「Zoom-Bombing」騷擾現象，皆因駭客能夠透過會議ID自動產生器來破解Zoom會議 ID（甚至取得沒有密碼保護的Zoom連結），在不驚動主持人的情況下滲入會議，然後惡意發放色情、暴力或令人反感的影音和圖片；甚至可以透過這種方式竊取 Zoom 用戶的 Windows登入密碼，從而注入程式來存取裝置上的攝影機與麥克風。雖然香港暫時未有發生「暗網洩露Zoom帳號資料事件」，但早前宣道國際學校就有Zoom課堂遭駭客入侵，實在令人憂心。據悉，校方回覆查詢時稱「畫面短暫播了一些令人反感的內容」，已向警方報案，並決定即時將網上教學暫停兩天，為防止同類型事件再次發生。

在一連串的資安問題爆出後，Zoom馬上推出緊急更新版本，表示已修補漏洞並強化安全性與隱密性，更新內容包括：

1. 預先啟用會議密碼設定，並新增了防止用隨機掃描會議ID 的方法來加入會議的措施。
2. 用戶可為會議設置「等候室」，任何人想加入會議，都必須通過會議主持人的允許才可加入。
3. 不在會議視窗的狀況列上顯示（原本會直接出現的）用戶ID。
4. 加入「保安」按鈕，主持人可在所有人加入會議後鎖住會議，不讓其他人再加入；參與會議者中途無法隨意改名，聯絡人的資料也不會再自動顯示。

5. 在Zoom解除安裝程序中，加入完全移除本地主機網頁伺服器的選項，還會連帶一併刪除使用者儲存的設定。

至於有不少人提出的伺服器問題，Zoom為此新增了一項新功能：付費用戶可自行選擇服務連接的伺服器，務求可加強用戶在資料傳送路徑的選擇上的控制權。據了解，目前Zoom的資料中心以群分為以下區域：美國、加拿大、歐洲、印度、澳州、中國大陸、拉丁美洲、日本／香港。要留意的是，當用戶選擇不使用特定區域的資料中心時，該區域之Zoom會議室連接器（CRC）亦將不允許連接到個人會議或網路研討會，同時電話撥入功能亦無法使用。

有些謹慎為上的用戶，或許早已因信任感大打折扣而轉用其他通訊軟件，例如 Google Hangouts Meet、Skype、Microsoft Teams、CyberLink U Metting、Cisco WebEx 等。但如果是慣常或因工作／學習需要而必須使用Zoom呢？用戶最基本可以先做好以下幾點：

1. 使用最新版本的 Zoom 軟件和保安軟件
2. 提防任何不明的 UNC 連結
3. 切勿在會議期間分享機密資訊
4. 使用有意義的顯示名稱，別使用網上暱稱
5. 小心保護你的 Zoom 帳戶及留心可疑的帳戶活動

詳細保安貼士和主持會議者的安全建議，可以參考香港電腦保安事故協調中心（HKCERT）的建議 。
其實，不只Zoom，不同的通訊工具或會議軟件都有機會出現資料保安漏洞，想盡可能保障自己，可以做好以下4點：
1. 使用正版軟件：使用由軟件開發商提供的程式來更新軟件；安裝並開啟防火牆和入侵檢測系統；更新電腦病毒和間諜軟件的定義檔，以及定期使用防病毒軟件來掃描電腦。
2. 加強電子郵件和密碼保安：設置嚴謹的密碼（最好包含大小寫英文、數字及符號），並最少每90天定期更改；不要使用容易受到黑客攻擊的電腦登入電子郵件帳戶、電子銀行服務或進行涉及敏感資料的操作。
3. 加強電腦系統保安：避免瀏覽任何可疑網站、開啓可疑的電郵及即時短訊；不要下載來源或性質不明的附件；將涉及個人資料的電腦檔案加密處理。
4. 避免使用公共無線網絡服務：日常將無線網絡功能關閉；如有必要使用公共無線網絡時，不要發送敏感／個人資料，過後亦應刪除網絡首選列表的相關記錄；確保無線網絡卡驅動程式為最新版本。

身處互聯網時代，每個人在互聯網上的一舉一動，都會留下「數碼足印」，建構成「大數據」。所以，無論有沒有發生這次「Zoom事件」，我們都必須要認清一個事實：維持網絡安全、保護個人資料是「修不完的功課」。

原文：經濟通

#科技 #生活 #商業 #社會

《中天的夢想驛站》人工智慧系列報導之三：前Google中國區總裁李開復談中國大陸的人工智慧 為台憂心

【人工智慧列國家戰略 李開復:中國早已是AI大國 全球勞動力最多國家 中國卻打造全自動製造業 中國邁入雙創時代 人工智慧列戰略軸心 昔日山寨工廠深圳 轉型成全球最創新城市 深圳優勢從勞力變腦力 研發與專利均達國家級 李開復:中國早已不是山寨工廠 是人工智慧大國 坐擁數據等於擁有權力 AI巨頭挑戰傳統價值 七大"黑洞"主宰人類生活 需要開放資源來制衡 世界已經往前走遠了 台灣才剛喊"AI元年"】

中國大陸對於人工智慧非常重視，事實上他的危機感非常早，他認為只有人工智慧可以挽救下一個階段的中國的經濟。文茜的世界週報主持人陳文茜也特別專訪創新工場董事長李開復，他非常深耕中國大陸，而且在這方面有很重要的代表性，他為我們介紹他所了解的中國大陸目前人工智慧發展的狀況。

擁有14億人口、全球勞動力最多的中國，卻想盡辦法要成為全世界最不需要人工的自動化大國。

Bloomberg 彭博社亞洲企業總編輯Brian Bremner表示，「(中國)他們要稱霸世界，抗拒也沒用。你說的沒錯，中國凡事都大計畫，看到日本、歐洲和韓國在機器人上的高度發展，他們也想做大機器人產業。所以他們擬出規模極為龐大的計畫，要在工業機器人和服務機器人上占有一席之地。」

人工智慧時代，沒有哪個企業能單打獨鬥。2017年兩會，人工智慧(AI)首次被列為大陸國家發展戰略軸心，標榜「大眾創業、萬眾創新」的雙創時代，科技創新成為李克強政府工作報告的關鍵詞。

事實上，大陸的人工智慧發展，比政府工作報告領先很多，京東商城的智慧倉儲、海爾的自動化生產，阿里巴巴的城市大腦，早已開始運轉。中國大陸也是全球人工智慧產業成長最快的城市，光是廣東一省，2015年投注在自動化相關產業的賦稅優惠就高達1370億美元，經濟學人就曾特地到躋身全球「先進製造聚落」的珠三角，探訪全世界最創新的城市深圳。

WIRED未來城市紀錄片/三諾集團全球渠道副總裁江山表示，大部分的人都不知道，矽谷至少有26%的科技，其實是來自深圳。

以前外國企業到深圳落腳，看上的是賦稅、勞力，現在看的則是"腦力"。深圳平均花在研發上的金額超過它GDP的4%，是其他城市平均值的兩倍，深圳一地提交的國際專利數量，甚至超過法國和英國，根據世界銀行所做的研究指出，中國大陸為其出口產品增加的價值，達到76%，遠高於外界想像，中國製造業只是「低技術含量的山寨」、或只是「全球工廠」這種刻板印象，其實都需要重新檢視。文茜世界周報主持人陳文茜，專訪創新工場董事長李開復，他就肯定中國早已走上人工智慧大國的道路。

文茜世界周報主持人陳文茜：大陸在關於人工智慧的部分的發展是很驚人的。當然如果你用MIT(麻省理工學院)的角度，用史丹佛的實驗室的角度來看，大陸在這種頂尖不會是比不上美國，可是如果你看他在各行各業中，其他的人工智慧的部分，他發展是很驚人的。

創新工場董事長李開復：我覺得中國肯定會是人工智慧的一個大國，這有幾點重要的理由。第一個，大量的中國人參與人工智能的研究，我們全世界43%的頂級論文是華人參與的。就是如果我們把人工智慧的這種教授做為圍棋來看的話，可能你今天的(MIT)Rus教授，可能是八段、九段的。中國的這43%，可能是三段、五段、七段的，但是這些都會成長上去的。

第二，人工智慧是吃數據的，誰數據多，就能夠更快做出東西來。中國人口多，所以你要做無人駕駛，因為中國車子多。而且現在中國人臉辨認已經是世界第一了，因為照得多嘛。所以它的轉型也會數據多、轉型快。還有一個很可能讓你意外的理由，就是中國的傳統企業還是很落後的，比如說銀行用什麼軟體，當然台灣可能也很落後，但是大陸也是落後的。

保險公司用什麼軟體，就是他們的IT化不如美國，但是這個也給人工智慧一個機會，因為人工智慧要去取代美國的非人工智慧的銀行、保險的軟體，它的門檻會比較高。中國的話，你只要稍微做得比低的門檻高一點，可能就賣進去了。所以人工智慧的發展也會很快。

還有一點就是政策跟自我約束。美國人在這種事件上特別的糾結。當然我們可以尊敬他是基於基督教、人權、個性化、對人的尊重，還有隱私的保護等等的，我們可以尊重這一點。但是事實上是，美國對於數據的分享，還有這種數據的使用 管理了很多，這個在中國可能會可以更開放。 (陳文茜問，因為他們沒有隱私權問題？) 其實也有，但是沒有美國的那麼重視。

陳：所以你會認為淘寶網將來會變成一個人工智慧公司？根本不是一個現在大家想像中的淘寶網？

李：他已經是了。

大陸有14億人口，其中的7.31億是網民，是美國的2.5倍。人工智慧的三大核心-演算、編碼、數據，人口多，成了科技發展的天然優勢。

陳文茜表示，譬如說如果以京東商城或者是阿里巴巴為例，因為他的整個購買量非常的大。或者是說像當當(網)也一樣，他們那個書的購買也是很大。他變成一個人工智慧公司，他的意義是什麼？

李開復回答，自己賺錢是最直接的，因為淘寶知道他所有的用戶的習慣。當你上淘寶，他說你買了這個商品，因此會買其他什麼商品。你今天的瀏覽軌跡跟你個人的帳戶會給你做什麼服務。

然後第二個就是他會推金融，他說你要買這個東西你買不起，我借錢給你。他會只有針對那些還得起錢的人來借，所以慢慢的，他的產業鏈會越做越深。還有他可以做精準營銷，他對於還不是他的用戶，可以判斷你會不會成為他的用戶，人工智慧它以後會比我們更清楚，我們會想買什麼？想吃什麼？想交什麼樣的異性朋友？所以這些東西它都會可以轉換成經濟價值 。

陳文茜問，所以它如果做為一個你剛才講的交友、找伴侶，它會不會變成Matchmaker 比你去隨便街上，或是在學校讀書認識一個男女朋友更好一點？

李：淘寶可能不會，微信可能會，微信懂你會懂得比淘寶更多，所以各有各的機會。

陳：在中國大陸你覺得你最看好的？

李：在中國大陸一定是數據。第一個，因為現在第一個階段是最賺錢的，數據最賺錢。我覺得製造的話，可能華為是最厲害的，華為是長久非常營利的公司，他也在大量的雇用人工智慧的人才，所以我可能說硬體方面會最看好華為。但是如果說是在馬上賺錢方面，我覺得B.A.T手中有大量的數據，大量的人才，他們應該是最有賺錢的機會。而且可能因為他們賺太多錢了，就開始進入了硬體、汽車 ，各種的行業，但是我其實覺得，巨頭在人工智慧是很可怕的事情，但是一個公司做得特別龐大，其實對貧富差距，對人類的安全是個挑戰。

我最近常常提到七大黑洞，就是Google、Facebook、Microsoft、Amazon，還有大陸的百度、騰訊、阿里，這七個公司的權力太大了，數據太多了。對外並不分享，挖了人才也出不來。因為他們用，我數據多一點、來我這工作更好玩做為理由。所以現在世界上的AI的人才跟數據，都在這七個公司，而且他們並不開放。

所以我會希望能夠有更多的、更開放型的方法，不開放的話，MIT、史丹佛、CMU(卡內基美隆大學)也沒戲了，因為這些公司的老師，他們可能有最先進的思想，但是他們數據不夠。在AI的領域裡面，數據要比思想還更重要一點點，兩者都要有，(陳：除非他們也是替Google工作)，所以被挖去了好多。

李開復也說，人工智慧應該是一個開放的平台，我們需要千百個AI公司，去制衡那些巨無霸。而在這個浪潮中，台灣除了鴻海、台積電等少數公司，有實力產生人工智慧的價值鏈之外，因為對全球趨勢的輕忽加上政治內耗，恐怕再度錯失一次科技崛起的機會。

李開復說，因為其實就是從半導體跟TC時代，台灣是領跑全球的，但之後在網際網路、軟體開發、移動網路、社群網路，一次一次又錯過了 這次AI(人工智慧) 看來也是要錯過的。