疫情之下,远程办公变成了刚需,云视频会议的“用武之地”也越来越多。
应用商店情报公司 Sensor Tower 发布的一份相关报告显示,Zoom 的下载量在 2 月和 3 月位居全球排行榜榜首,在美国、英国和欧洲其他地区的下载量继续居高不下。在创纪录的一周下载量中,Zoom 的下载量是 2019 年第四季度美国每周平均下载量的 14 倍。英国的下载量也是第四季度每周平均下载量的 20多倍,法国是 22 倍,德国是 17 倍,西班牙是 27 倍,意大利更是达到 55 倍,当之无愧成为国外办公的软件。
不过,Zoom 最近却接连被曝出安全隐患,甚至 FBI 都对其发出警告, NASA、SpaceX 还要求员工禁用,那么,作为视频会议“黑马”的 Zoom 究竟做错了什么?
雷锋网此前报道,3 月 26 日,Motherboard 刊文指出,在 iOS 系统下载或打开 Zoom App 时,App内嵌的 Facebook SDK(软件开发工具包)会向 Facebook 传送用户的手机型号、时区、城市、运营商以及广告唯一标识符等信息,而 iOS 版本的 Zoom 未在隐私条款中提前说明,就将用户数据共享给脸书,即便用户没有脸书账号也是如此。
随后,Zoom 承认了这个漏洞。他们表示,将在近日删除脸书的SDK,并重新配置该功能。
巧合的是,3 月 31 日,Zoom 的另一个功能设置漏洞被 Motherboard 的同一个作者发现。
据报道,Windows 版 Zoom 客户端爆出了容易受到 NUC 路径注入攻击的安全漏洞。Zoom 的“公司目录”下会展示使用同一邮箱域名的同事姓名、头像和邮箱,由系统自动判断,省掉了一个个添加同事的麻烦。但也带来了一个隐患:如果用户用私人邮箱注册,可能会看到同样使用该邮箱域名的陌生人,而攻击者利用聊天模块的漏洞,窃取点击相关链接的用户的 Windows 登陆凭据。
研究人员称漏洞可能使本地、非特权攻击者具有根本权限,并允许他们访问受害者的麦克风和摄像机。
此外,除了窃取 Windows 登陆凭据,研究人员还透露,通过点击链接的方式,UNC 注入还适用于启动本地计算机上的程序(比如 CMD 命令提示符)。
不过,值得庆幸的是,该漏洞仅影响 Zoom 的 Windows 客户端。在 Apple 的 mac OS 上,Zoom 客户端是不会允许该链接生效的。
值得关注的是,美国联邦调查局(FBI)波士顿办公室在美国当地时间本周一发布了一份关于 Zoom 的警告,提醒用户不要在 Zoom 进行公开会议或者广泛分享链接,其还谈到此前已经发生了多起身份不明的人入侵学校网络课程的事件。
3 月 28 日 SpaceX 在发给员工的一封电子邮件中要求员工立即停止使用 Zoom 。信中谈到:“我们知道,我们中的很多人正在使用这一工具进行会议。但请使用电子邮件、短信或者电话作为代替通信的手段。”
与此同时,美国航天局发言人斯蒂芬妮·希尔霍尔茨也表示,NASA 也已经禁止员工使用 Zoom 。
所以,难免有人会问这个视频会议界的“黑马”究竟是哪里出了问题?
Zoom为何屡被暴露安全隐私问题?
雷锋网了解到,Zoom 在其网站和安全性白皮书中声明,其支持会议的端到端加密。但是,安全人员的最新研究表明,事实并非如此。
事实上,Zoom 的确使用了 TLS 加密,它被广泛用于 HTTPS 超文本传输,这意味着,Zoom 服务器到用户个人之间的传输处于加密状态,但是,“端到端加密”通常是指完全保护用户之间的内容,而公司并没有访问权限,类似于 Signal 或 Whats App。而 Zoom 没有提供这种级别的加密,这使得“端到端”的使用极具误导性。
也就是说,虽然用户和 Zoom 服务器之间的连接被加密,但是并不能阻止 Zoom 本身看到呼叫过程。然而,Zoom 称,在隐私保护方面,Zoom 仅获取用户有限的操作系统版本、IP 地址、硬件设备等有限信息,也不允许员工有权访问用户会议内容以及贩卖用户资料。
值得注意的是,在其隐私权政策中,在“Zoom 会出售个人数据吗?”条目下,Zoom 的说法是:“取决于您所说的‘卖出'。”Zoom 的政策虽然声称不会将个人数据出售给第三方,但却会与这些公司的“第三方”共享个人数据目的。
这就有点“自相矛盾”了,我是该相信你还是不相信你呢?
除此之外,Zoom 上还有一个默认设置,允许任何会议参与者在没有得到会议主持人许可的情况下共享他们的屏幕。而任何拥有公共会议链接的人都可以加入其中。有安全人员还爆料称,关于 Zoom 公共会议的链接在 Facebook 群组和 Discord 聊天中进行交易,人们在 Twitter 和公开页面上也很容易找到这类链接。
这无疑为黑客的入侵提供了一种更为便捷的通道。
网友们也表示,难道国内的钉钉、腾讯会议不不香吗?
那么,对于继续使用 Zoom 来办公的用户,他们要如何保障安全呢?对此,安全研究人员也给出了一些建议:
对于来自未知发件人的电子邮件和文件要小心。
不要打开未知的附件或点击电子邮件中的链接。小心类似的域名,拼写错误的电子邮件和网站,以及不熟悉的电子邮件发送者。
请勿使用社交帐号登录 Zoom:这样做可以节省时间,但是很不安全,会大大增加 Zoom 可以访问的个人隐私数据量。
在 Zoom 通话期间使用两个设备:如果您正在计算机上参加 Zoom 通话,请使用手机检查电子邮件或与其他通话参与者聊天。
保持 Zoom 应用程序更新:Zoom 从其最新版本的应用程序中删除了远程 Web 服务器。如果您最近下载了 Zoom ,则无需担心此特定漏洞。
雷锋网雷锋网雷锋网
参考资料:
[1] https://www.iphoneincanada.ca/news/zoom-macos/
[2] https://blog.checkpoint.com/2020/03/30/covid-19-impact-cyber-criminals-target-zoom-domains/
[3]https://www.leiphone.com/news/202003/1hlfFMtOfYsaTGzM.html