【時事評論EP.07】從Zoom的資安危機，看出科技背後的政治考量

• 4/26更新：原文中將政治哲學家Langdon Winner誤植為發展歸因論的Bernard Welner，我們已經更正這錯誤，並且將更新完的文章重新發布於此，而之前的文章將會在Matters站內撤回，並將IPFS - Hash發布於本文留言處。

目前新冠肺炎疫情肆虐，全球已累積有170萬件以上的確診案例，如此慘況讓人難以想像這是從幾個月前才出現的新興疾病。而因應疫情的影響，人們的生活也因此發生了改變──為此，除了減少出外用餐與娛樂的次數以外，變動最大的當屬居家辦公及遠距授課，爭議也隨之湧現，一舉躍上了新聞版面。

遠距授課必須使用配套的工具進行，這些工具包括Microsoft、Adobe、Zoom等多家軟體公司所提供的系統。然而前面提到的Zoom在近期不斷傳出負面新聞，因而被教育部規定禁用，讓大眾在考慮遠距教學的工具時多了資訊安全的考量。

Zoom是如何成為大眾的寵兒，卻又在一夕之間跌落神壇，究竟中間發生了什麼？請跟隨VCR的步伐，在歷史中汲取教訓。

Zoom是什麼？

在2011年，袁征創立了名為「Zoom」的公司並開發了同名的軟體，此款軟體由於針對視訊會議的功能完整，同時又易於操作，因而被大眾廣為採用。

Zoom支援了相當多的功能，例如免費版的軟體能夠讓10人進行長達40分鐘的視訊會議，途中可同時共享螢幕並錄下當下的視訊內容作為紀錄。

相較於一般的聊天軟體，例如LINE及Skype，它的付費版本甚至可以根據要求配置伺服器、或是和其他程式的API（應用程式介面，用白話講就是程式之間對話的方式）進行串接，例如可以直接透過Zoom去讀取企業內部網站的資料，而這些功能都能依照需求進行調整，因而廣受企業的好評。

為何大眾對這件事的反應如此劇烈？

近年來Zoom不斷被爆出嚴重的資安漏洞，對用戶的資訊安全有相當大的影響。

2019年的7月，資安專家Jonathan Leitschuh就曾在Medium上警告大眾「Zoom的系統存在零日漏洞」，這個漏洞使得全球多達400萬個Mac用戶的鏡頭可以在未經允許之下被遠端開啟；更糟的是，儘管移除了電腦上的Zoom應用程式，它仍可以利用隱藏的Web服務器，在系統後台自動重新安裝。

這些系統的漏洞皆已被修復，但這些事件所造成的負面印象卻沒有隨之消失；其不注重資訊安全的形象，再次因為近期的資安危機大大地添了一筆，曝出其嚴重的安全漏洞的同時，大眾對其的不信任感也隨之高漲。

根據外媒Motherboard在3月26日報導，IOS版本的Zoom在未取得用戶同意下，就透過Facebook的API，將用戶的數據分享給Facebook。儘管許多應用程式同樣透過Facebook的軟體開發套件，但卻不應該在用戶不知情的情況下共享數據，事後 Zoom刪除Facebook的軟體開發套件並更新應用程式。

而且由於Zoom的會議ID容易遭到破解，導致出現「Zoom-Bombing」的騷擾事件，也就是攻擊者惡意加入Zoom的視訊對話，並且播出色情或令人反感的影音與圖片，甚至可以透過這種方式趁亂竊取 Zoom 用戶的 Windows 系統憑證，對此Zoom也調整了教育帳戶的設定，以提升視訊過程的安全性與隱密性。

然而，在加拿大多倫多大學公民實驗室（Citizen Lab）的最新報告中卻指出，Zoom有將資料送往中國伺服器的狀況。創辦人袁征在官方部落格發文回應，認為這是因為近期連線需求大增，伺服器流量調配造成的設定錯誤，才發生資料送中的意外。此外，Zoom也被爆出其聲稱視訊會議採用 AES-256 加密標準，但研究人員卻指出實際上卻是使用更為簡單的 AES-128 金鑰，而過去標榜的點對點加密，也並未如實做到。

課程又不是不可告人的機密，民眾是否過度反應了？

許多反對教育部禁用Zoom的人士，包含台灣大學電機系教授葉丙成皆提到：

「平日的休閒談話內容，以及授課的內容本身並沒有高機密的內容，根本不需特別去擔心；至於機密內容則應該當面去交流，因此洩漏機密一說並不存在」。

但實際上資訊安全重視的是被稱為「C.I.A.」三個面向：機密性(confidentiality)、完整性(Integrity)和可用性(Avalibility)。其中，又以機密性一項尤為受人重視，理由是在大數據科技被廣泛應用的現在，只要擁有足夠量的資料便能推測出使用者接下來的行為，並藉由更多的用戶數據來修正並精確這些推算，進而達到無限近似於「無人有隱私」的狀況。

以上還只是在非機密的狀況中累積下來的數據可能導致的結果，更不用提如果將機密資料利用網路傳輸，只要留下了紀錄，便能藉此獲取資料；綜上所述，無論是機密或非機密的使用中，若是失去了最重要的「隱私」，皆會帶來無法挽回的嚴重結果。

但是並非所有公司拿到資料以後都會進行如此大規模的用戶資料模擬，更遑論去監控所有人，例如Google便沒有限制自己的用戶去收集其他用戶的使用資料，但是有一系列的用戶規章來明文規定使用的方式及規範。

我們害怕的是資安漏洞還是中國？

其實現存的大型軟體公司幾乎都曾有過資安問題，但Zoom濃厚的中國色彩讓大眾用更為嚴厲的眼光去審視其資安問題：袁征在過去受訪時曾透露「Zoom研發團隊主要來自中國，且公司的股權分布也相對集中」，這樣的陳述再加上中國政府對於境內高科技公司掌控的程度，民眾也因此格外注重Zoom的資安問題。

由上面的推理可知，其實這次引發軒然大波的癥結點在於「可能將資料送給了中國」。一方面Zoom本身就具由濃厚的中國色彩，另一方面中國當地的法律規定所有公民、組織都有義務配合國家的情報調查；再加上近年中國對於人權的不重視程度為人所知，因此才引發各國組織的抵制。但對於國際政治立場特殊的台灣，更讓許多人覺得這個決策或許是出於政治考量。

但技術產物就沒有政治問題嗎？

在過去的認知中，無論就法律或倫理道德的層面上而言，一項技術或物品都應該是中立且被動的，因此不會有人去苛責一個物品。正所謂「水能載舟，亦能覆舟」，使用物品而產生的結果會因人而異，而個人也必須承擔相對應的成果。

但這樣的看法卻逐步在轉變。Langdon Winner，一名科技與社會方面的研究專家，曾論述道「雖然技術或物品不必負起政治責任，但它們會在各種層面上影響著人類的選擇與社會的樣貌，因此依舊擁有不容忽視的政治影響力。」

儘管物品本身並不具備政治性的意識，但物品的設計和安排卻可以成為設計師政治意圖的載體──例如在《技術產物有政治性嗎？》一文中，便以位在紐約的長島高架橋為例，來探討如何透過設計來實踐設計者的意圖。

當我們單純的從表象上來看，這些高架橋並沒有什麼特別之處，只是相比於其他的橋略低一些，然而這樣的高度差卻帶來截然不同的結果。原來當時高架橋底下的通道，大約預留三公尺的高度給汽車通行，而這樣一個微小的改變卻限制高達四公尺的大眾巴士通過，導致貧困的中低階層也被限制在外。

這樣的做法造成了一個結果──只有那些擁有自己的車、相對為中上階層的人士可以使用這群高架橋所在的公園大道與海濱區域，藉以達成排除低薪階層的目的；而在這些橋樑建設的年代，前者對應的便是白人，而後者則是黑人，因此這些橋搖身一變，成為了種族歧視的工具。

而在Winner的論述中，也以核電廠作為科技產物的一個例子：由於核能發電的原料具有高度的誤用風險，而且發電過程中的些微失誤都有可能造成極大的危害；因此如果希望核電廠的運行不要出現任何問題，勢必需要由高度專業化的集權模式來管理。

這意味著核能技術和集權管理的模式密不可分，若是人類大量採用核能作為發電手段，便會逐步習慣、並走向集權政治的道路。

不論是低架橋或核電廠的例子，都代表著「技術就是權力（power）」，而突出的權力在民主社會中是相當危險的。但正如開頭所述──「水能載舟，亦能覆舟」，儘管技術產物可能擁有影響許多事情的能力，但卻不一定站在民主的對立面。

例如第二次世界大戰期間，英國首相邱吉爾便在國會重建之時，選擇縮小會議廳的範圍，藉由讓所有議員面對面而坐來提升議員們的焦躁感，進而達到「讓他們積極審議法案」的目的，造就了今日大家所熟知的英國國會。

科技始終來自人性，或許是最佳的註解。

我們學到了什麼樣的教訓？

讓我們回頭來看這次Zoom引發的資安危機，或許又會有人說，不要讓政治汙染其他美好的事物，「政治歸政治，○○歸○○」類似這樣的標語屢見不鮮；然而如果政治影響了技術，技術的產物就會讓政治考量無形間影響我們的生活。就像前面提到的核電廠可能會造成的影響一般，通訊技術已經深植在每個人的日常生活當中，這項技術中若是含有政治考量，將會對整個社會造成無法計量的改變。

「政治即生活，生活及政治。」筆者認為我們應該試著提高在不同領域的政治意識：Zoom事件提醒了我們「物品是可能含有政治意圖的」，我們就更應該注意這則警訊，保持對政治的敏銳，以避免在生活中無形地受到他人的意圖所控制，並從更寬廣的視野去反思設計、科技及社會三者之間的關係。

感謝願意看到這裡的朋友們，VCR Daily，我們下次見。

IG：@VCR.daily ，每天一個事件回顧，搭配有料的歷史Memes，讓VCR帶你「無痛閱讀」

Facebook：請看VCR ，每當我們團隊更新長篇文章，也會在FB上面同步宣傳喔~