資策會：視訊會議 小心駭客三手法

資策會資安所觀察，使用會議視訊軟體若忽視資安問題，將造成會議內容外洩、視訊中斷等嚴重結果。以Zoom為例，主要有3種手法：手法一：遠端監控資安攻擊，針對Zoom的Mac用戶，任何網站內容只要嵌入惡意程式碼，一旦誘使受害者點擊就能未經使用者授權，啟動Mac的攝影機，這個型式屬於資訊洩露漏洞。手法二：阻斷服務攻擊（DoS）， 駭客發送惡意的會議連結，在未經用戶許可下，不僅會啟動攝影機，還會不斷被強制加入無數個無效會議，以達到DoS攻擊目的。手法三：偷聽Zoom視訊會議，在Zoom最新的漏洞中，由於設計機制的錯誤，系統會將用戶傳送的會議ID貼上合法或不合法的標籤。據此，駭客可以利用會議ID自動產生器，找到合法的會議ID。而若該會議並沒有通行密碼，則駭客就能進入參與會議。而手法三屬於風險度相對偏高的列舉攻擊漏洞，除了Zoom外，也曾發生在Cisco的Webex軟體上，資策會資安所副主任高傳凱建議除了將應用程式更新到最新版本外，也別忘了將會議設置通行密碼的功能打開，可以有效防範此類資安問題。