Zoom เป็นโปรแกรมประเภท video conference ที่ได้รับความนิยมเพิ่มมากขึ้นเนื่องจากเหตุการณ์ไวรัสโคโรน่าหรือ COVID-19 แพร่ระบาด ทำให้หลายองค์กรต้องปรับรูปแบบการทำงานให้รองรับการประชุมจากนอกสถานที่ หรือสถาบันการศึกษาหลายแห่งต้องปรับรูปแบบการเรียนการสอนมาเป็นจากระยะไกลแทน อย่างไรก็ตาม หลายฝ่ายได้มีความกังวลต่อประเด็นความมั่นคงปลอดภัยและความเป็นส่วนตัวของการใช้งานโปรแกรม Zoom เนื่องจากมีการรายงานช่องโหว่และพฤติกรรมการทำงานในบางจุดที่อาจก่อให้เกิดข้อกังวลดังกล่าว ไทยเซิร์ตได้รวบรวมข้อมูลประเด็นที่เกี่ยวข้องซึ่งสามารถสรุปได้ดังนี้
ประเด็นด้านความมั่นคงปลอดภัย
- ตัวติดตั้งของโปรแกรม Zoom เวอร์ชัน Mac มีการเรียกใช้สคริปต์บางอย่างในสิทธิ์ระดับสูง ซึ่งอาจก่อให้เกิดอันตรายกับระบบได้ ทาง Zoom รับทราบและแก้ไขแล้ว (อ้างอิง)
- โปรแกรม Zoom เวอร์ชัน Windows มีช่องโหว่ที่อาจถูกขโมยรหัสผ่านบัญชีได้ด้วยการหลอกให้คลิกลิงก์ ส่วนเวอร์ชัน Mac มีช่องโหว่ที่อาจถูกดักฟังได้ด้วยการหลอกให้เข้าเว็บไซต์อันตราย ทาง Zoom รับทราบและแก้ไขแล้ว (อ้างอิง)
- รูปแบบการรับส่งข้อมูลภาพและเสียงในระหว่างที่มีการทำ video conference นั้นไม่ได้ใช้วิธีเข้ารหัสลับข้อมูลในรูปแบบ end-to-end (ต้นทางจนถึงปลายทาง) ซึ่งอาจถูกผู้ไม่หวังดีดักฟังการประชุมได้ ทาง Zoom ยอมรับว่ามีประเด็นนี้จริง ยังไม่มีรายละเอียดว่าจะปรับปรุงในเรื่องนี้หรือไม่ แต่ก็ได้ให้ข้อมูลเพิ่มเติมว่าข้อมูลที่รับส่งระหว่างเครื่องของผู้ใช้กับเซิร์ฟเวอร์ของ Zoom นั้นมีการเข้ารหัสลับข้อมูลแล้ว (อ้างอิง)
- รูปแบบของอัลกอริทึมที่ใช้เข้ารหัสลับข้อมูลนั้นมีความเสี่ยงที่อาจถูกโจมตีได้ง่าย (ECB mode) ทาง Zoom แจ้งว่าอยู่ระหว่างการปรับปรุง (อ้างอิง)
- พบการส่งข้อมูลบางอย่างไปยังเซิร์ฟเวอร์ที่ตั้งอยู่ในประเทศจีนซึ่งอาจทำให้หน่วยงานหลายแห่งมีความกังวลเรื่องการดักข้อมูล ทาง Zoom แจ้งว่ามีเซิร์ฟเวอร์ตั้งอยู่ในหลายประเทศ ระบบจะเลือกเส้นทางการเชื่อมต่อไปยังเซิร์ฟเวอร์ที่ใกล้ที่สุดและอาจสลับไปใช้งานเซิร์ฟเวอร์ในประเทศอื่นหากเซิร์ฟเวอร์ในพื้นที่ใกล้เคียงไม่สามารถรองรับทราฟฟิกเพิ่มได้ (อ้างอิง)
- ห้องประชุมมีโอกาสถูกผู้ที่ไม่ได้รับอนุญาตเข้ามาก่อกวนได้ (Zoombombing) ทาง Zoom แก้ไขด้วยการเพิ่มคุณสมบัติ waiting room เพื่อให้ผู้ที่ตั้งห้องประชุมสามารถพิจารณาผู้เข้าร่วมประชุมได้ก่อนที่จะอนุญาตให้เข้าห้อง (อ้างอิง)
- พบช่องโหว่ที่อาจทำให้ผู้ไม่หวังดีสวมรอยบัญชีผู้ใช้ได้ ทาง Zoom รับทราบและแก้ไขแล้ว (อ้างอิง)
ประเด็นความเป็นส่วนตัว
- ในเอกสารนโยบายด้านความเป็นส่วนตัว (privacy policy) ทาง Zoom ระบุว่าจะเก็บข้อมูลการใช้งานและอาจนำข้อมูลดังกล่าวส่งต่อให้หน่วยงานอื่น (3rd party) หลังจากที่มีผู้ทักท้วง ทาง Zoom ได้รับทราบและปรับปรุงนโยบายดังกล่าวแล้ว (อ้างอิง)
- แอปพลิเคชัน Zoom ใน iOS ได้ใช้ Facebook SDK เป็นส่วนหนึ่งของการพัฒนา ซึ่งจะมีการส่งข้อมูลบางอย่างไปให้ทาง Facebook ด้วยถึงแม้ผู้ใช้จะไม่ได้ล็อกอิน Facebook ก็ตาม ทาง Zoom รับทราบและแก้ไขแล้ว (อ้างอิง)
- ฟีเจอร์ค้นหารายชื่อผู้ติดต่อที่ใช้อีเมลในองค์กรเดียวกันอาจถูกใช้เพื่อสืบค้นอีเมลและข้อมูลโพรไฟล์ของคนอื่นได้ รวมถึงพบปัญหาข้อมูลโพรไฟล์ใน LinkedIn ถูกเปิดเผยโดยไม่ได้รับอนุญาต ทาง Zoom แก้ไขโดยการปิดฟีเจอร์นี้ชั่วคราว (อ้างอิง)
ข้อควรพิจารณา
ทาง Zoom ได้ออกมายอมรับว่าระบบยังมีส่วนที่ต้องปรับปรุงเพิ่มเติมในแง่ของความมั่นคงปลอดภัยและความเป็นส่วนตัว โดยทางผู้บริหารของ Zoom ได้ประกาศว่าจะหยุดพัฒนาฟีเจอร์ใหม่เป็นการชั่วคราวเพื่อปรับปรุงระบบให้มีความมั่นคงปลอดภัยและความเป็นส่วนตัวเพิ่มมากขึ้น โดยทางเว็บไซต์ของ Zoom ก็ได้มีแถลงการณ์ในเรื่องเหล่านี้อยู่เป็นระยะ
ทั้งนี้ ในการใช้งานโปรแกรม Zoom ในประเทศไทยนั้น ได้มีผู้ให้บริการจัดทำแบบประเมินความสอดคล้องของระบบ Zoom ในรูปแบบ self assessment ตามประกาศ คสช. ที่ 74/2557 เรื่อง การประชุมผ่านสื่ออิเล็กทรอนิกส์ และ ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของการประชุมผ่านสื่ออิเล็กทรอนิกส์ พ.ศ. 2557 โดยสามารถพิจารณาได้จาก https://www.etda.or.th/content/e-meeting.html ที่ สพธอ. ได้รวบรวมและเผยแพร่แบบประเมินของผู้ให้บริการรายต่าง ๆ ไว้แล้วนั้น (โดยก่อนเผยแพร่ สพธอ. ได้พิจารณาแบบประเมินว่า ผู้ให้บริการได้ให้รายละเอียดการทำ self asseessment ที่ชัดเจนตามประกาศดังกล่าวหรือไม่)
อย่างไรก็ตาม การประเมินความสอดคล้องข้างต้น ส่วนหนึ่งคือมาตรการด้านความมั่นคงปลอดภัย ที่กำหนดไว้เพียงบางส่วน ดังนั้น ผู้ใช้งานจำเป็นต้องศึกษามาตรการด้านความมั่นคงปลอดภัยของผู้ให้บริการแต่ละรายว่ามีการดูแลในเรื่องดังกล่าวอย่างไร เพื่อให้แน่ใจว่าระบบเหล่านี้มีความเหมาะสมเพียงพอต่อการนำไปใช้งาน
——————————————————————————-
ที่มา : ThaiCERT / 10 เมษายน 2563
Link : https://www.thaicert.or.th/newsbite/2020-04-08-01.html
