本網站使用相關技術提供更好的閱讀體驗,同時尊重使用者隱私,點這裡瞭解中央社隱私聲明當您關閉此視窗,代表您同意上述規範。
Your browser does not appear to support Traditional Chinese. Would you like to go to CNA’s English website, “Focus Taiwan”?
こちらのページは繁体字版です。日本語版「フォーカス台湾」に移動しますか。
中央社一手新聞APP Icon中央社一手新聞APP
下載

疫情帶動遠距視訊軟體夯 資安防範有3大撇步

2020/3/26 11:09(3/26 11:40 更新)
請同意我們的隱私權規範,才能啟用聽新聞的功能。
請同意我們的隱私權規範,才能啟用聽新聞的功能。

(中央社記者鍾榮峰台北26日電)武漢肺炎疫情嚴峻,愈來愈多企業推行在家工作方案,帶動會議視訊軟體熱夯。資策會指出,有駭客利用會議視訊軟體漏洞,進行惡意攻擊,主要有3種手法,保障遠距資安,也有3種方式因應。

資策會資安科技研究所觀察,使用會議視訊軟體若忽視資安問題,將造成會議內容外洩、視訊中斷、電腦無法運作,或個人機密資料流失等嚴重結果。曾有駭客利用會議視訊軟體漏洞,進行惡意攻擊,主要有3種手法。

首先是遠端監控資安攻擊,資安所指出,針對會議視訊軟體的特定筆電用戶,任何網站內容只要嵌入惡意程式碼,一旦誘使受害者點擊就能未經使用者授權,啟動特定筆電的攝影機,這個型式屬於資訊洩露漏洞,並不需要特別啟動會議視訊軟體應用程式,就會受到攻擊。

其次是阻斷服務攻擊DoS(Denial of Service),駭客透過會議視訊軟體分享會議連結的功能,發送惡意的會議連結,一旦點擊就會開始反覆收到錯誤號碼的GET請求,在未經用戶許可下,不僅會啟動攝影機,還會不斷被強制加入無數個無效會議,以達到DoS攻擊目的。

資安所指出,這即使解除安裝也無濟於事,因為地方網路伺服器還是會幫用戶電腦自動重新連結到會議視訊軟體的客戶端。

再者是偷聽視訊會議,在會議視訊軟體最新漏洞中,由於設計機制的錯誤,系統會將用戶傳送的會議ID貼上合法(valid)或不合法(invalid)的標籤。

因此駭客可以利用會議ID自動產生器,透過API不斷試誤,直到找到合法的會議ID。如果會議沒有通行密碼,駭客就能進入參與會議。

資安所指出,還好駭客無法透過這種做法得知會議由誰主持、何時舉辦,所以實際上駭客很難進行針對性攻擊,且一旦駭客出現在出席名單中,也相當容易被注意到。

為了保障遠距資安,資策會資安所副主任高傳凱建議,前2種手法都需要使用者自己觸發惡意連結,屬於中度風險的資安問題。他提醒用戶務必更新到最新版本,切勿使用舊版本,同時透過設定「加入會議時關掉相機」,以求更多資安保障。

另外手法3屬於風險度相對偏高的列舉攻擊(enumeration attack)漏洞,高傳凱建議,除了將應用程式更新到最新版本外,也別忘了將會議設置通行密碼(Password for Meeting)的功能打開,可以有效防範此類資安問題。

武漢肺炎疫情(2019冠狀病毒疾病,COVID-19)仍在延燒,資策會資安所表示,未來遠距工作、遠距教學、線上發表會、線上研討會等活動需求勢必愈來愈多,大眾在使用會議視訊軟體時,更應隨時做好資安防範。(編輯:郭無患)1090326

中央社「一手新聞」 app
iOS App下載Android App下載

本網站之文字、圖片及影音,非經授權,不得轉載、公開播送或公開傳輸及利用。

108