根據外媒《Vice》的一份報告,由於聯絡人分類功能的漏洞,Zoom很可能將不相關的聯絡人歸類同一組,使同組聯絡人可相互窺見電子郵件、照片等私人訊息,甚至可能讓用戶與陌生人進行視訊通話,造成隱私外露的疑慮。
《Vice》表示,對於使用Zoom來協作的企業來說,以電子郵件網域來分類是有意義的,也便於公司同事快速透過Zoom進行聯繫。
Zoom依網域將聯絡人分類,反成有心人士操作目標
用戶在登入Zoom時,系統會要求加入聯絡人資訊,Zoom會將具有相同電子郵件網域的聯絡人歸類在同一組,例如公司同事的帳號會整合在「公司」這個分類,用戶可以在此分類中搜尋特定人員,查看其照片和電子郵件,並進行視訊通話。然而,這個便於用戶將聯絡人分門別類管理的功能,卻可能讓其他人的隱私訊息外流。
Zoom的用戶透過人電子郵件註冊後,Zoom會主動依照電子郵件後綴的網域將聯絡人進行分類,聯絡人使用來自相同公司組織、學校,甚至網路服務供應商提供的電子郵件時,就可能被系統歸在同一組。
進而導致使用相同電子郵件網域卻不認識彼此的兩人,可以互相看到彼此的個人郵件、照片內容,甚至進行視訊通話。這個漏洞可能被有心人士利用,透過Zoom騷擾其他人。Zoom目前尚不清楚此問題的傳播範圍或受影響的電子郵件網域數量。
受影響的用戶與跟《Vice》分享螢幕內容顯示,在他被歸類的目錄中總計有995個電子郵件帳戶, 其中xs4all.nl、dds.nl、quicknet.nl等來自荷蘭網路服務業者提供的電子郵件似乎並不尋常,Zoom表示已將這些網域列入黑名單。
Zoom在回應中表示:「Zoom持續維護有問題電子郵件網域的黑名單,並定期主動偵測要增加的電子郵件網域名稱,」此外用戶也可自行透過技術支援網頁,要求將有問題的網域加入黑名單。
根據Zoom技術支援網頁內容顯示,目前並未將gmail.com、yahoo.com、hotmail.com等一般用戶個人電子郵件常用的網域進行分組。
不是第一次爆出個資疑慮
這並非Zoom第一次發生用戶個資疑慮的事件。去年7月一位安全研究人員發現,惡意網站可以在未經用戶許可的情況下,透過Mac筆電打開Zoom視訊通話,所幸Zoom迅速修補了服務,並移除了造成該漏洞的伺服器。
此外,資安公司Check Point 在1月份發布有關Zoom出現漏洞的報告,該漏洞可能會讓駭客竊聽電話。Zoom也證實其視訊通話實際上並未進行端到端加密。
責任編輯:陳映璇
