0
| 本文作者: 劉琳 | 2020-04-02 17:01 |
疫情之下,遠(yuǎn)程辦公變成了剛需,云視頻會議的“用武之地”也越來越多。
應(yīng)用商店情報(bào)公司 Sensor Tower 發(fā)布的一份相關(guān)報(bào)告顯示,Zoom 的下載量在 2 月和 3 月位居全球排行榜榜首,在美國、英國和歐洲其他地區(qū)的下載量繼續(xù)居高不下。在創(chuàng)紀(jì)錄的一周下載量中,Zoom 的下載量是 2019 年第四季度美國每周平均下載量的 14 倍。英國的下載量也是第四季度每周平均下載量的 20多倍,法國是 22 倍,德國是 17 倍,西班牙是 27 倍,意大利更是達(dá)到 55 倍,當(dāng)之無愧成為國外辦公的軟件。
不過,Zoom 最近卻接連被曝出安全隱患,甚至 FBI 都對其發(fā)出警告, NASA、SpaceX 還要求員工禁用,那么,作為視頻會議“黑馬”的 Zoom 究竟做錯(cuò)了什么?
雷鋒網(wǎng)此前報(bào)道,3 月 26 日,Motherboard 刊文指出,在 iOS 系統(tǒng)下載或打開 Zoom App 時(shí),App內(nèi)嵌的 Facebook SDK(軟件開發(fā)工具包)會向 Facebook 傳送用戶的手機(jī)型號、時(shí)區(qū)、城市、運(yùn)營商以及廣告唯一標(biāo)識符等信息,而 iOS 版本的 Zoom 未在隱私條款中提前說明,就將用戶數(shù)據(jù)共享給臉書,即便用戶沒有臉書賬號也是如此。
隨后,Zoom 承認(rèn)了這個(gè)漏洞。他們表示,將在近日刪除臉書的SDK,并重新配置該功能。
巧合的是,3 月 31 日,Zoom 的另一個(gè)功能設(shè)置漏洞被 Motherboard 的同一個(gè)作者發(fā)現(xiàn)。
據(jù)報(bào)道,Windows 版 Zoom 客戶端爆出了容易受到 NUC 路徑注入攻擊的安全漏洞。Zoom 的“公司目錄”下會展示使用同一郵箱域名的同事姓名、頭像和郵箱,由系統(tǒng)自動(dòng)判斷,省掉了一個(gè)個(gè)添加同事的麻煩。但也帶來了一個(gè)隱患:如果用戶用私人郵箱注冊,可能會看到同樣使用該郵箱域名的陌生人,而攻擊者利用聊天模塊的漏洞,竊取點(diǎn)擊相關(guān)鏈接的用戶的 Windows 登陸憑據(jù)。
研究人員稱漏洞可能使本地、非特權(quán)攻擊者具有根本權(quán)限,并允許他們訪問受害者的麥克風(fēng)和攝像機(jī)。
此外,除了竊取 Windows 登陸憑據(jù),研究人員還透露,通過點(diǎn)擊鏈接的方式,UNC 注入還適用于啟動(dòng)本地計(jì)算機(jī)上的程序(比如 CMD 命令提示符)。
不過,值得慶幸的是,該漏洞僅影響 Zoom 的 Windows 客戶端。在 Apple 的 mac OS 上,Zoom 客戶端是不會允許該鏈接生效的。
值得關(guān)注的是,美國聯(lián)邦調(diào)查局(FBI)波士頓辦公室在美國當(dāng)?shù)貢r(shí)間本周一發(fā)布了一份關(guān)于 Zoom 的警告,提醒用戶不要在 Zoom 進(jìn)行公開會議或者廣泛分享鏈接,其還談到此前已經(jīng)發(fā)生了多起身份不明的人入侵學(xué)校網(wǎng)絡(luò)課程的事件。
3 月 28 日 SpaceX 在發(fā)給員工的一封電子郵件中要求員工立即停止使用 Zoom 。信中談到:“我們知道,我們中的很多人正在使用這一工具進(jìn)行會議。但請使用電子郵件、短信或者電話作為代替通信的手段。”
與此同時(shí),美國航天局發(fā)言人斯蒂芬妮·希爾霍爾茨也表示,NASA 也已經(jīng)禁止員工使用 Zoom 。
所以,難免有人會問這個(gè)視頻會議界的“黑馬”究竟是哪里出了問題?
Zoom為何屢被暴露安全隱私問題?
雷鋒網(wǎng)了解到,Zoom 在其網(wǎng)站和安全性白皮書中聲明,其支持會議的端到端加密。但是,安全人員的最新研究表明,事實(shí)并非如此。
事實(shí)上,Zoom 的確使用了 TLS 加密,它被廣泛用于 HTTPS 超文本傳輸,這意味著,Zoom 服務(wù)器到用戶個(gè)人之間的傳輸處于加密狀態(tài),但是,“端到端加密”通常是指完全保護(hù)用戶之間的內(nèi)容,而公司并沒有訪問權(quán)限,類似于 Signal 或 Whats App。而 Zoom 沒有提供這種級別的加密,這使得“端到端”的使用極具誤導(dǎo)性。
也就是說,雖然用戶和 Zoom 服務(wù)器之間的連接被加密,但是并不能阻止 Zoom 本身看到呼叫過程。然而,Zoom 稱,在隱私保護(hù)方面,Zoom 僅獲取用戶有限的操作系統(tǒng)版本、IP 地址、硬件設(shè)備等有限信息,也不允許員工有權(quán)訪問用戶會議內(nèi)容以及販賣用戶資料。
值得注意的是,在其隱私權(quán)政策中,在“Zoom 會出售個(gè)人數(shù)據(jù)嗎?”條目下,Zoom 的說法是:“取決于您所說的‘賣出'。”Zoom 的政策雖然聲稱不會將個(gè)人數(shù)據(jù)出售給第三方,但卻會與這些公司的“第三方”共享個(gè)人數(shù)據(jù)目的。
這就有點(diǎn)“自相矛盾”了,我是該相信你還是不相信你呢?
除此之外,Zoom 上還有一個(gè)默認(rèn)設(shè)置,允許任何會議參與者在沒有得到會議主持人許可的情況下共享他們的屏幕。而任何擁有公共會議鏈接的人都可以加入其中。有安全人員還爆料稱,關(guān)于 Zoom 公共會議的鏈接在 Facebook 群組和 Discord 聊天中進(jìn)行交易,人們在 Twitter 和公開頁面上也很容易找到這類鏈接。
這無疑為黑客的入侵提供了一種更為便捷的通道。
網(wǎng)友們也表示,難道國內(nèi)的釘釘、騰訊會議不不香嗎?
那么,對于繼續(xù)使用 Zoom 來辦公的用戶,他們要如何保障安全呢?對此,安全研究人員也給出了一些建議:
對于來自未知發(fā)件人的電子郵件和文件要小心。
不要打開未知的附件或點(diǎn)擊電子郵件中的鏈接。小心類似的域名,拼寫錯(cuò)誤的電子郵件和網(wǎng)站,以及不熟悉的電子郵件發(fā)送者。
請勿使用社交帳號登錄 Zoom:這樣做可以節(jié)省時(shí)間,但是很不安全,會大大增加 Zoom 可以訪問的個(gè)人隱私數(shù)據(jù)量。
在 Zoom 通話期間使用兩個(gè)設(shè)備:如果您正在計(jì)算機(jī)上參加 Zoom 通話,請使用手機(jī)檢查電子郵件或與其他通話參與者聊天。
保持 Zoom 應(yīng)用程序更新:Zoom 從其最新版本的應(yīng)用程序中刪除了遠(yuǎn)程 Web 服務(wù)器。如果您最近下載了 Zoom ,則無需擔(dān)心此特定漏洞。
雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)
參考資料:
[1] https://www.iphoneincanada.ca/news/zoom-macos/
[2] https://blog.checkpoint.com/2020/03/30/covid-19-impact-cyber-criminals-target-zoom-domains/
[3]http://www.qcxyk.com/news/202003/1hlfFMtOfYsaTGzM.html
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
