新冠疫情爆發以來,在線會議平臺Zoom的應用也在爆發。從之前的日均1千萬用戶使用激增到2億用戶。隨著Zoom使用量的爆發,大量的安全問題也暴露出來,反應出其安全設計和措施上的懈怠。以至於Zoom首席執行官袁徵公開道歉,承認存在安全問題並表示要努力解決。
安全問題之多,甚至有安全公司發出“Zoom就是惡意軟件”的聲音。當然Zoom是一個合法正規的商業化軟件,只不過存在著漏洞、隱私等很多的安全問題:
1. Zoom的隱私政策
Zoom的隱私政策導致其很有可能收集大量的用戶數據,並與第三方共享。如視頻、列表、共享註釋等,甚至訪問它的網站主頁(zoom.us,zoom.com)的數據。3月29日,Zoom加強了它的隱私策略,聲明不會將會議數據用做廣告用途。
2. iOS應用
Zoom的iOS應用也集成了臉書的SDK,即使用戶沒有臉書的賬戶也會發送分析數據到該社交平臺。之後更新的版本中,Zoom已移除了這個功能。
3. 與會者跟蹤
這個功能允許zoom在會議中判斷與會者是否離開了會議主窗口。4月2日,zoom永久移除了這個功能。
4. 隱默安裝
zoom在安裝它的Mac版應用時使用了“隱默安裝”技術,無需用戶同意。Mac惡意軟件通常也會使用同樣的技術。同樣在4月2日,zoom的更新版本解決了這個問題。
5. Windows應用漏洞
在之前的windows版本中,存在一個UNC(統一命名規則)漏洞,攻擊者可用來遠程盜取windows登錄憑證,甚至執行任意代碼。
6. Mac漏洞
通過漏洞,可以獲取root權限,並訪問Mac系統上的麥克和攝像頭。和上面的windows漏洞一樣,在4月2日的更新中已經將問題修復。
7. 數據關聯
當用戶登錄時,在不知情的情況下自動匹配用戶在LinkedIn上的姓名和郵件地址。該功能目前也已經被禁止。
8. 郵件誤關聯
據新媒體Vice報道,zoom洩露了至少數千個用戶郵件地址和照片,並允許陌生人彼此建立會議呼入。這些郵件地址使用相同的域名(主流郵件提供商如Gmail/Outlook/Hotmail/雅虎等不包括在內),被zoom當做同一公司的員工。
9. 視頻數據洩露
華盛頓郵報4月3日報道,利用zoom的自動命名規則,可搜索到zoom的會議視頻數據,這些數據放在AWS存儲桶中,可公開訪問。
10. 弱口令
研究人員開發了一個搜索工具,通過該工具每小時可發現100餘個zoom會議的ID,且沒有任何口令保護。
11. 非真正的端到端加密
zoom稱在會議中,一方產生的音頻、視頻、屏幕共享和聊天等數據,在到達另一方之前是無法被解密的。但實際上,Zoom僅實現了對部分文本信息和音頻的端到端加密。同時,其會議錄製的增值服務將密鑰放在了雲端,意味著攻擊者或政府情報機構可以通過某種手段獲得密鑰。
12. 屏幕炸彈
被稱為zoombombing的惡意攻擊,利用zoom不安全的默認配置可取得會議屏幕共享權,往屏幕上發送色情或恐怖等不良圖片及信息。FBI還特為此種攻擊發布了警告。
數世諮詢評:
作為一個企業級會議服務平臺,Zoom存在如此多的安全問題,難怪業界發出“Zoom就是惡意軟件”的聲音。但平心而論,任何一款軟件應用在遇到爆發時期總會出現各種各樣的問題。很多人應該記得,多年前的“Windows還是Linux誰更安全”之爭,其實質就是誰的應用更廣泛的問題。但不管怎樣,在一個科技飛速發展萬物互聯的數字世界,安全已經遠落後於技術應用的進步,是一個不爭的事實。這才是我們每一個安全從業人員值得警惕併為之努力的主題。
關鍵詞:zoom;新冠疫情;
https://blogs.harvard.edu/doc/2020/03/27/zoom/
https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account
https://www.eff.org/deeplinks/2020/03/what-you-should-know-about-online-tools-during-covid-19-crisis
https://twitter.com/c1truz_/status/1244737672930824193
https://thehackernews.com/2020/04/zoom-windows-password.html
https://objective-see.com/blog/blog_0x56.html
https://www.nytimes.com/2020/04/02/technology/zoom-linkedin-data.html
https://www.vice.com/en_us/article/k7e95m/zoom-leaking-email-addresses-photos
https://www.washingtonpost.com/technology/2020/04/03/thousands-zoom-video-calls-left-exposed-open-web/
https://krebsonsecurity.com/2020/04/war-dialing-tool-exposes-zooms-password-problems/
https://blog.cryptographyengineering.com/2020/04/03/does-zoom-use-end-to-end-encryption/
https://theintercept.com/2020/03/31/zoom-meeting-encryption/
https://www.nytimes.com/2020/04/03/technology/zoom-harassment-abuse-racism-fbi-warning.html
閱讀更多 數世諮詢 的文章
