疫情之下，遠(yuǎn)程辦公變成了剛需，云視頻會(huì)議的“用武之地”也越來越多。

應(yīng)用商店情報(bào)公司 Sensor Tower 發(fā)布的一份相關(guān)報(bào)告顯示，Zoom 的下載量在 2 月和 3 月位居全球排行榜榜首，在美國(guó)、英國(guó)和歐洲其他地區(qū)的下載量繼續(xù)居高不下。在創(chuàng)紀(jì)錄的一周下載量中，Zoom 的下載量是 2019 年第四季度美國(guó)每周平均下載量的 14 倍。英國(guó)的下載量也是第四季度每周平均下載量的 20多倍，法國(guó)是 22 倍，德國(guó)是 17 倍，西班牙是 27 倍，意大利更是達(dá)到 55 倍，當(dāng)之無愧成為國(guó)外辦公的軟件。

不過，Zoom 最近卻接連被曝出安全隱患，甚至 FBI 都對(duì)其發(fā)出警告， NASA、SpaceX 還要求員工禁用，那么，作為視頻會(huì)議“黑馬”的 Zoom 究竟做錯(cuò)了什么？

不止一次的安全隱患事件

雷鋒網(wǎng)此前報(bào)道，3 月 26 日，Motherboard 刊文指出，在 iOS 系統(tǒng)下載或打開 Zoom App 時(shí)，App內(nèi)嵌的 Facebook SDK（軟件開發(fā)工具包）會(huì)向 Facebook 傳送用戶的手機(jī)型號(hào)、時(shí)區(qū)、城市、運(yùn)營(yíng)商以及廣告唯一標(biāo)識(shí)符等信息，而 iOS 版本的 Zoom 未在隱私條款中提前說明，就將用戶數(shù)據(jù)共享給臉書，即便用戶沒有臉書賬號(hào)也是如此。

隨后，Zoom 承認(rèn)了這個(gè)漏洞。他們表示，將在近日刪除臉書的SDK，并重新配置該功能。

巧合的是，3 月 31 日，Zoom 的另一個(gè)功能設(shè)置漏洞被 Motherboard 的同一個(gè)作者發(fā)現(xiàn)。

據(jù)報(bào)道，Windows 版 Zoom 客戶端爆出了容易受到 NUC 路徑注入攻擊的安全漏洞。Zoom 的“公司目錄”下會(huì)展示使用同一郵箱域名的同事姓名、頭像和郵箱，由系統(tǒng)自動(dòng)判斷，省掉了一個(gè)個(gè)添加同事的麻煩。但也帶來了一個(gè)隱患：如果用戶用私人郵箱注冊(cè)，可能會(huì)看到同樣使用該郵箱域名的陌生人，而攻擊者利用聊天模塊的漏洞，竊取點(diǎn)擊相關(guān)鏈接的用戶的 Windows 登陸憑據(jù)。

研究人員稱漏洞可能使本地、非特權(quán)攻擊者具有根本權(quán)限，并允許他們?cè)L問受害者的麥克風(fēng)和攝像機(jī)。

此外，除了竊取 Windows 登陸憑據(jù)，研究人員還透露，通過點(diǎn)擊鏈接的方式，UNC 注入還適用于啟動(dòng)本地計(jì)算機(jī)上的程序（比如 CMD 命令提示符）。

不過，值得慶幸的是，該漏洞僅影響 Zoom 的 Windows 客戶端。在 Apple 的 mac OS 上，Zoom 客戶端是不會(huì)允許該鏈接生效的。

值得關(guān)注的是，美國(guó)聯(lián)邦調(diào)查局（FBI）波士頓辦公室在美國(guó)當(dāng)?shù)貢r(shí)間本周一發(fā)布了一份關(guān)于 Zoom 的警告，提醒用戶不要在 Zoom 進(jìn)行公開會(huì)議或者廣泛分享鏈接，其還談到此前已經(jīng)發(fā)生了多起身份不明的人入侵學(xué)校網(wǎng)絡(luò)課程的事件。

3 月 28 日 SpaceX 在發(fā)給員工的一封電子郵件中要求員工立即停止使用 Zoom 。信中談到：“我們知道，我們中的很多人正在使用這一工具進(jìn)行會(huì)議。但請(qǐng)使用電子郵件、短信或者電話作為代替通信的手段?！?/p>

與此同時(shí)，美國(guó)航天局發(fā)言人斯蒂芬妮·希爾霍爾茨也表示，NASA 也已經(jīng)禁止員工使用 Zoom 。

所以，難免有人會(huì)問這個(gè)視頻會(huì)議界的“黑馬”究竟是哪里出了問題？

Zoom為何屢被暴露安全隱私問題？

雷鋒網(wǎng)了解到，Zoom 在其網(wǎng)站和安全性白皮書中聲明，其支持會(huì)議的端到端加密。但是，安全人員的最新研究表明，事實(shí)并非如此。

事實(shí)上，Zoom 的確使用了 TLS 加密，它被廣泛用于 HTTPS 超文本傳輸，這意味著，Zoom 服務(wù)器到用戶個(gè)人之間的傳輸處于加密狀態(tài)，但是，“端到端加密”通常是指完全保護(hù)用戶之間的內(nèi)容，而公司并沒有訪問權(quán)限，類似于 Signal 或 Whats App。而 Zoom 沒有提供這種級(jí)別的加密，這使得“端到端”的使用極具誤導(dǎo)性。

也就是說，雖然用戶和 Zoom 服務(wù)器之間的連接被加密，但是并不能阻止 Zoom 本身看到呼叫過程。然而，Zoom 稱，在隱私保護(hù)方面，Zoom 僅獲取用戶有限的操作系統(tǒng)版本、IP 地址、硬件設(shè)備等有限信息，也不允許員工有權(quán)訪問用戶會(huì)議內(nèi)容以及販賣用戶資料。

值得注意的是，在其隱私權(quán)政策中，在“Zoom 會(huì)出售個(gè)人數(shù)據(jù)嗎？”條目下，Zoom 的說法是：“取決于您所說的‘賣出'?！盳oom 的政策雖然聲稱不會(huì)將個(gè)人數(shù)據(jù)出售給第三方，但卻會(huì)與這些公司的“第三方”共享個(gè)人數(shù)據(jù)目的。

這就有點(diǎn)“自相矛盾”了，我是該相信你還是不相信你呢？

除此之外，Zoom 上還有一個(gè)默認(rèn)設(shè)置，允許任何會(huì)議參與者在沒有得到會(huì)議主持人許可的情況下共享他們的屏幕。而任何擁有公共會(huì)議鏈接的人都可以加入其中。有安全人員還爆料稱，關(guān)于 Zoom 公共會(huì)議的鏈接在  Facebook 群組和 Discord 聊天中進(jìn)行交易，人們?cè)?Twitter 和公開頁面上也很容易找到這類鏈接。 

這無疑為黑客的入侵提供了一種更為便捷的通道。

網(wǎng)友們也表示，難道國(guó)內(nèi)的釘釘、騰訊會(huì)議不不香嗎？

如何保護(hù)用戶安全？

那么，對(duì)于繼續(xù)使用 Zoom 來辦公的用戶，他們要如何保障安全呢？對(duì)此，安全研究人員也給出了一些建議：

• 對(duì)于來自未知發(fā)件人的電子郵件和文件要小心。

• 不要打開未知的附件或點(diǎn)擊電子郵件中的鏈接。小心類似的域名，拼寫錯(cuò)誤的電子郵件和網(wǎng)站，以及不熟悉的電子郵件發(fā)送者。

• 請(qǐng)勿使用社交帳號(hào)登錄 Zoom：這樣做可以節(jié)省時(shí)間，但是很不安全，會(huì)大大增加 Zoom 可以訪問的個(gè)人隱私數(shù)據(jù)量。

• 在 Zoom 通話期間使用兩個(gè)設(shè)備：如果您正在計(jì)算機(jī)上參加 Zoom 通話，請(qǐng)使用手機(jī)檢查電子郵件或與其他通話參與者聊天。
  

• 保持 Zoom 應(yīng)用程序更新：Zoom 從其最新版本的應(yīng)用程序中刪除了遠(yuǎn)程 Web 服務(wù)器。如果您最近下載了 Zoom ，則無需擔(dān)心此特定漏洞。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

參考資料：

[1] https://www.iphoneincanada.ca/news/zoom-macos/

[2] https://blog.checkpoint.com/2020/03/30/covid-19-impact-cyber-criminals-target-zoom-domains/

[3]http://www.ozgbdpf.cn/news/202003/1hlfFMtOfYsaTGzM.html

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。