遠距辦公要注意 資策會籲資安防範不可少

隨著新冠肺炎疫情逐漸延燒,不少記者會、座談會都改成線上進行,也許多學校開始採取遠距教學,越來越多企業更開始推行在家工作方案,帶動會議視訊軟體如Zoom、微軟Teams、訊連U會議、思科Webex等使用頻率水漲船高。資策會資安所呼籲,雖然遠距辦公帶來不少便利,但網路會議的資安議題也不容忽視。

資策會資安所指出,使用會議視訊軟體若忽視資安問題,將造成會議內容外洩、視訊中斷、電腦無法運作,或個人機密資料流失等嚴重結果。以當今最火紅的視訊軟體Zoom為例,曾有駭客利用Zoom的軟體漏洞,進行惡意攻擊,主要有3種手法,需要小心防範。

手法一是針對Zoom的Mac用戶,任何網站內容只要嵌入惡意程式碼,一旦誘使受害者點擊就能未經使用者授權,啟動Mac的攝影機,這個型式屬於資訊洩露漏洞,並不需要特別啟動Zoom應用程式,就會受到攻擊。

手法二是阻斷服務攻擊(DoS, Denial of Service)駭客透過Zoom分享會議連結的功能,發送惡意的會議連結,一旦點擊就會開始反覆收到錯誤號碼的GET請求,在未經用戶許可下,不僅會啟動攝影機,還會不斷被強制加入無數個無效會議,以達到DoS攻擊目的。最令人擔憂的是,即使解除安裝也無濟於事,因為地方網路伺服器還是會幫用戶電腦自動重新連結到Zoom的客戶端。

手法三則是偷聽Zoom視訊會議,Zoom最新漏洞中,由於設計機制的錯誤,系統會將用戶傳送的會議 ID 貼上合法(valid)或不合法(invalid)的標籤。據此駭客可以利用會議ID自動產生器,透過API不斷試誤,直到找到合法的會議 ID。假若該會議並沒有通行密碼,則駭客就能進入參與會議。所幸駭客無法透過這種做法得知會議由誰主持、何時舉辦,所以實際上駭客很難以此進行針對性的攻擊,且一旦駭客出現在出席名單中,也相當容易被注意到。

資策會資安所副主任高傳凱表示,手法一與手法二都需要使用者自己觸發惡意連結,屬於中風險的資安問題,切勿使用Zoom程式4.4.5以下的版本,同時也透過設定「加入會議時關掉相機」以求更多資安保障。而手法三屬於風險度相對偏高的列舉攻擊漏洞,除了Zoom以外也曾發生在Cisco的Webex軟體上,將會議設置通行密碼可以有效防範此類資安問題。

資策會呼籲,全球新冠肺炎疫情仍在延燒,未來遠距工作、遠距教學、線上發表會、線上研討會等活動需求勢必愈來愈多,大眾在使用會議視訊軟體時,更應隨時做好資安防範。

要防疫又要維持公司正常運作,企業界興起了一股居家辦公熱潮,愈來愈多公司採取遠距上班,不僅筆電、PC、面板等硬體產業受惠,為保護公司的機密及個資,資訊安全相關的概念題材也同樣雨露均霑,不論個股或ETF的買氣都很強勁。

因資安議題而被看好的投資機會有那些?請看我們的專題報導。

延伸閱讀

資安ETF 買氣強強滾

‧資安問題惹議 10檔概念股有戲

‧遠距辦公防駭重要性大增 資安ETF崛起

‧遠距辦公首重資安 破解駭客三大手法

‧遠距辦公要注意 資策會籲資安防範不可少

‧Zoom掀資安疑慮 中研院專家給七點使用建議

🎯加入工商時報Telegram頻道 https://t.me/ctee_telegram
🎯微股力達人-工商時報加關注
📱精選新聞不漏接!

資安遠距辦公