被NASA、SpaceX禁用,FBI警告的Zoom究竟哪裡出了錯?
疫情之下,遠程辦公變成了剛需,雲視頻會議的“用武之地”也越來越多。應用商店情報公司Sensor Tower 發布的一份相關報告顯示,Zoom 的下載量在2 月和3 月位居全球排行榜榜首,在美國、英國和歐洲其他地區的下載量繼續居高不下。
在創紀錄的一周下載量中,Zoom 的下載量是2019 年第四季度美國每周平均下載量的14 倍。英國的下載量也是第四季度每周平均下載量的20多倍,法國是22 倍,德國是17 倍,西班牙是27 倍,意大利更是達到55 倍,當之無愧成為國外辦公的軟件。
不過,Zoom 最近卻接連被曝出安全隱患,甚至FBI 都對其發出警告,NASA、SpaceX 還要求員工禁用,那麼,作為視頻會議“黑馬”的Zoom 究竟做錯了什麼?
不止一次的安全隱患事件
3月26日,Motherboard刊文指出,在iOS系統下載或打開Zoom App時,App內嵌的Facebook SDK(軟件開發工具包)會向Facebook傳送用戶的手機型號、時區、城市、運營商以及廣告唯一標識符等信息,而iOS版本的Zoom未在隱私條款中提前說明,就將用戶數據共享給臉書,即便用戶沒有臉書賬號也是如此。
隨後,Zoom 承認了這個漏洞。他們表示,將在近日刪除臉書的SDK,並重新配置該功能。
巧合的是,3 月31 日,Zoom 的另一個功能設置漏洞被Motherboard 的同一個作者發現。
據報導,Windows版Zoom客戶端爆出了容易受到NUC路徑注入攻擊的安全漏洞。Zoom的“公司目錄”下會展示使用同一郵箱域名的同事姓名、頭像和郵箱,由系統自動判斷,省掉了一個個添加同事的麻煩。但也帶來了一個隱患:如果用戶用私人郵箱註冊,可能會看到同樣使用該郵箱域名的陌生人,而攻擊者利用聊天模塊的漏洞,竊取點擊相關鏈接的用戶的Windows登陸憑據。
研究人員稱漏洞可能使本地、非特權攻擊者俱有根本權限,並允許他們訪問受害者的麥克風和攝像機。
此外,除了竊取Windows 登陸憑據,研究人員還透露,通過點擊鏈接的方式,UNC 注入還適用於啟動本地計算機上的程序(比如CMD 命令提示符)。
不過,值得慶幸的是,該漏洞僅影響Zoom 的Windows 客戶端。在Apple 的mac OS 上,Zoom 客戶端是不會允許該鏈接生效的。
值得關注的是,美國聯邦調查局(FBI)波士頓辦公室在美國當地時間本週一發布了一份關於Zoom 的警告,提醒用戶不要在Zoom 進行公開會議或者廣泛分享鏈接,其還談到此前已經發生了多起身份不明的人入侵學校網絡課程的事件。
3 月28 日SpaceX 在發給員工的一封電子郵件中要求員工立即停止使用Zoom 。信中談到:“我們知道,我們中的很多人正在使用這一工具進行會議。但請使用電子郵件、短信或者電話作為代替通信的手段。”
與此同時,美國航天局發言人斯蒂芬妮·希爾霍爾茨也表示,NASA 也已經禁止員工使用Zoom 。
所以,難免有人會問這個視頻會議界的“黑馬”究竟是哪裡出了問題?
Zoom為何屢被暴露安全隱私問題?
Zoom 在其網站和安全性白皮書中聲明,其支持會議的端到端加密。但是,安全人員的最新研究表明,事實並非如此。
事實上,Zoom 的確使用了TLS 加密,它被廣泛用於HTTPS 超文本傳輸,這意味著,Zoom 服務器到用戶個人之間的傳輸處於加密狀態,但是,“端到端加密”通常是指完全保護用戶之間的內容,而公司並沒有訪問權限,類似於Signal 或Whats App。而Zoom 沒有提供這種級別的加密,這使得“端到端”的使用極具誤導性。
也就是說,雖然用戶和Zoom 服務器之間的連接被加密,但是並不能阻止Zoom 本身看到呼叫過程。然而,Zoom 稱,在隱私保護方面,Zoom 僅獲取用戶有限的操作系統版本、IP 地址、硬件設備等有限信息,也不允許員工有權訪問用戶會議內容以及販賣用戶資料。
值得注意的是,在其隱私權政策中,在“Zoom 會出售個人數據嗎?”條目下,Zoom 的說法是:“取決於您所說的’賣出’。”Zoom 的政策雖然聲稱不會將個人數據出售給第三方,但卻會與這些公司的“第三方”共享個人數據目的。
這就有點“自相矛盾”了,我是該相信你還是不相信你呢?
除此之外,Zoom 上還有一個默認設置,允許任何會議參與者在沒有得到會議主持人許可的情況下共享他們的屏幕。而任何擁有公共會議鏈接的人都可以加入其中。有安全人員還爆料稱,關於Zoom 公共會議的鏈接在 Facebook 群組和Discord 聊天中進行交易,人們在Twitter 和公開頁面上也很容易找到這類鏈接。
這無疑為黑客的入侵提供了一種更為便捷的通道。
網友們也表示,難道國內的釘釘、騰訊會議不不香嗎?
如何保護用戶安全?
那麼,對於繼續使用 Zoom 來辦公的用戶,他們要如何保障安全呢?對此,安全研究人員也給出了一些建議:
- 對於來自未知發件人的電子郵件和文件要小心。
- 不要打開未知的附件或點擊電子郵件中的鏈接。小心類似的域名,拼寫錯誤的電子郵件和網站,以及不熟悉的電子郵件發送者。
- 請勿使用社交帳號登錄Zoom:這樣做可以節省時間,但是很不安全,會大大增加Zoom 可以訪問的個人隱私數據量。
- 在Zoom 通話期間使用兩個設備:如果您正在計算機上參加Zoom 通話,請使用手機檢查電子郵件或與其他通話參與者聊天。
- 保持Zoom 應用程序更新:Zoom 從其最新版本的應用程序中刪除了遠程Web 服務器。如果您最近下載了Zoom ,則無需擔心此特定漏洞。