新冠疫情全球蔓延,远程办公需求愈发增加,视频会议软件的Zoom 全球用户数量激增,开年短短三个月,股价大涨130%以上,但此后隐私安全事件频频曝出,Zoom 股价连日暴跌,相比此前高点已经下滑26%。
可能就是网络安全专家们在家办公总要用zoom,就小小的测试了一下。
隐私安全问题
一些炒的比较火热的点如下:
一、由于Zoom软件的默认设置,有人可以在未被邀请的情况下参与和恶意搅乱视频会议,迫使会议中止。这种恶搞行为被称为“Zoom-bombing(Zoom炸弹)”,类似于可以随机加入会议。
二、Zoom 称其会议使用 AES-256 加密,但实际上只在 ECB 模式下使用了简单的 AES-128 密钥,密钥由 Zoom 的服务器产生。
在某些情况下密钥由来自中国的服务器产生。它还声称使用端对端加密,但事实上距离真正的端对端加密还比较遥远,该公司对端对端加密的定义与通常的定义有差距。
三、桌面版Zoom程序存在漏洞,可能会泄露Windows和MacOS用户的登录凭据;简单来说就是Zoom 客户端将 Windows 网络 UNC 路径,也转换成了聊天消息中可单击的链接,从而可以用来钓访问凭据黑鸟亲测。
四、软件工程师Felix Seele发现Zoom的macOS平台安装程序使用了“与macOS恶意软件相同的技巧”来绕过苹果的操作系统限制。通过误导性提示让安装程序自动化,意味着Zoom应用在没有得到用户最终同意的情况下就被安装了。
Zoom首席执行官Eric S. Yuan通过Twitter回应,承诺将改善这一情况。目前,Zoom已经发布了新的更新,解决了Seele所暴露的问题。
五、Motherboard报告说,即使用户没有登录Facebook或没有Facebook帐户,Zoom的iOS应用也正在向Facebook发送分析数据。不仅没有选择退出这种行为的方式,而且Zoom还没有提及数据将根据其隐私权政策发送给Facebook。
Zoom有一个“公司目录”设置,如果你注册了一个共享同一域的电子邮件地址,它会自动将其他人添加到你的联系人列表中。尽管对于不需要手动添加彼此的同事来说,这听起来像是一个有用的工具,但一些用户报告说,他们使用电子邮件地址注册Zoom之后,自己已与成千上万的陌生人分组,并且可以看到陌生人的名字,图片和邮件地址,并且可以和他们进行视频通话,同时退出分组需要用户与Zoom客户联系,并且需要等待较长时间。
六、根据《华盛顿邮报》的报道,成千上万的私人Zoom录像被视频会议发起者上传到了不同的视频网站和视频云,任何人都可以在网上观看。
这一消息是由安全研究员帕特里克-杰克逊(Patrick Jackson)向新闻网站Mashable爆料的,他在对不安全的云存储进行扫描时发现了1.5万个例子。此外,他还在YouTube、Google和Vimeo上进行了扫描,发现有几个录像可以供任何人观看。对此我们亲自尝试了观看YouTube上的视频,发现有几段是用户无意中上传的。
美国应对措施
目前Zoom遭到 SpaceX 和 NASA 内部禁用,美国联邦调查局(FBI)发出警告,提醒用户使用 Zoom 时注意网络安全问题,不要在社交媒体上广泛分享会议链接,以防机密信息被黑客获取。
《华盛顿邮报》报道,由于Zoom的安全和隐私问题日益严重,美国一些学区已经开始禁止远程教室使用Zoom。美国最大的学区纽约市教育局已经下令教师不要使用Zoom,而应该使用微软Teams在线课堂。
纽约市教育局就禁止使用Zoom提供了以下声明:
为我们的学生提供安全的远程学习体验至关重要,在进一步审查安全问题后,我们认为学校应尽快停止使用Zoom。远程学习有很多新的组成部分,我们正在为教职员工和学生的最大利益做出实时决定。我们将支持教职工和学生过渡到不同的平台,如微软Teams等具有相同功能的平台,并采取适当的安全措施。
同样,内华达州的克拉克县公立学校也禁止师生使用Zoom。对此,Zoom公司发表了以下声明予以回应。
Zoom非常重视用户的隐私、安全和信任。Zoom最初是为企业级用户开发的,经过我们对用户层、网络层和数据中心层的安全审查后,在全球范围内被众多机构放心地选择了完整部署。在COVID-19大流行期间,我们正在24小时不间断地工作,确保全球范围内的医院、大学、学校和其他机构都能保持连接和运行。随着越来越多的新型用户在这段时间开始使用Zoom,Zoom一直在积极主动地与用户接触,确保他们了解Zoom的相关政策,以及使用平台和保护会议的最佳方式。
也有消息称,如此针对Zoom,是因为Zoom公司由中国人袁征在美国创办,但核心确实中国人的公司,在苏州有700多名开发人员,针对关注的点是,在美国的视频通话有部分通过中国服务器转接。
很明显,与华为、抖音一样,这个在中国的转接流量的事件又被扣上了“危害美国国家安全”的帽子。
参考来源:CNBETA,ThreatPost,华盛顿邮报,techcrunch,Citizen Lab,其他信息来自互联网侵权删除
上期阅读
↓扫码
点个赞,转个发,祖国建设靠大家
