由于全球疫情,居家办公和在家上课的需求猛增,最大的视频会议软件ZOOM用户数大增,1到3月股价上涨超过100%。
正所谓乐极生悲,3月底陆续有爆出ZOOM有严重的安全问题,ZOOM曾在官方文件中承诺,它采用的端到端方式对会议内容进行加密,这被广泛认为是最安全的互联网通信方式,能有效保护用户的通信内容不被第三方(包括 Zoom 自己)接触到。但实际中并没有这么做,因为端对端的加密对一个追求视频流畅程度高的远程会议软件来说是鱼与熊掌不可兼得。
由于众所周知的原因,QQ和微信等国内通讯软件,都会存储在服务商的服务器上,国人对这个已经习以为常了,但是国外特别是注重个人隐私权的人民,觉得这是不可接受的,于是包括SpaceX、NASA等要求禁止其员工使用 Zoom。
ZOOM事件一出来,部分美国媒体把它上升到意识形态范畴,甚至认为ZOOM的这些漏洞是中国ZF特意设置的监控后门,仅仅是因为ZOOM的创始人是个华人,ZOOM的主要研发团队也在中国。国内自媒体也是纷纷反击,好不热闹,其实在我看来,这仅是个技术和商业问题。
ZOOM是一家视频软件企业,主要面向企业,与微软的teams不同,ZOOM用的是互联网思维在做企业级的产品,所以ZOOM特别易用,因为是面向企业的产品,它的使用范围主要是企业内部的员工,会议信息不大可能会上传到互联网上去,当这次大规模的个人用户进来之后(学校用它上网课),原来被忽视的安全问题就被暴露了。
一个企业,特别是技术驱动的企业,在成长过程中,或多或少都会留下“技术债”,很多产品开始都是几个人、甚至是创始人一个人做出来的,随着业务发展,它就会遇到瓶颈,这个时候就要看决策层的决断力了,什么时间点、愿意花多大的成本去重构。比如淘宝,2003年上线,中间经历过多次的技术变迁(有兴趣的可以去看《淘宝技术这十年》)。
在传统企业,技术债问题尤为突出,中国很多大型企业,从外部采购了各种系统,每个系统又根据企业要求做了大量的客制化,系统本身的迭代,系统与系统的对接,如果没有一支强大的信息化团队,是很难维护好这些系统的正常运行的。我始终认为“好的产品是进化来的,不是设计来的。”
多人参与的在线视频本身是很难进行端到端加密的,这是因为平台需要在会议过程中识别哪个用户正在通话,并将这名用户的高分辨率视频流分发给其他参会者,而对于其他的未讲话的参与者,平台只会提供低分辨率的视频流。
当然,从商业角度讲,虚假承诺是不被允许的,ZOOM作为一家上市公司,更不应该,希望ZOOM能痛定思痛,解决好自身的问题。
作为一个普通的企业,安全级别的要求并不需要像NASA这么高,所以对一般的中小企业,ZOOM仍然是最好的选择。 zoom是一个非常优秀的产品,面世这么多年,仍然保持着克制,只深耕一个专业,做到了最好。不像飞书,现在打开飞书,看到那一堆按钮,都无从下手了。 你会因为微软每个月都暴露除漏洞而不用windows了吗?
那么什么是端对端的加密: 通俗解释就是有一个消息要从A传送给B,A把消息装进一个有锁的盒子,快递给了B,同时把钥匙用另外一种途径交给B,B收到盒子和钥匙之后,就可以打开盒子看到里面的消息了。这过程中既要保证盒子是坚固的,快递公司是无法打开的,也要保证传送钥匙的渠道是安全、可被信赖的。
互联网通讯工具,有一些是完全做到了端对端加密的,比如telegram、whatsapp (www.whatsapp.com/security), whatsapp的端对端基于Signal协议,这种端对端加密协议旨在防止第三方和 WhatsApp 对消息或通话进行明文访问,即使用户设备的密钥泄露,也不会解密之前传输的消息。
Zoom的加密方式是 TLS (Transport Layer Security,传输层安全协议),就是用户设备端(手机、电脑)到 Zoom 的服务器之间时加密的,可以防止被第三方窃取,但Zoom 自己具备访问到未被加密的视频和音频内容的能力,所以不能保证数据在ZOOM这里是安全的。
参考 Signal协议库:https://github.com/signalapp/libsignal-protocol-java 维基百科:https://zh.wikipedia.org/wiki/%E7%AB%AF%E5%88%B0%E7%AB%AF%E5%8A%A0%E5%AF%86 《淘宝技术这十年》