0
本文作者: 劉琳 | 2020-04-02 17:01 |
疫情之下,遠(yuǎn)程辦公變成了剛需,云視頻會(huì)議的“用武之地”也越來越多。
應(yīng)用商店情報(bào)公司 Sensor Tower 發(fā)布的一份相關(guān)報(bào)告顯示,Zoom 的下載量在 2 月和 3 月位居全球排行榜榜首,在美國(guó)、英國(guó)和歐洲其他地區(qū)的下載量繼續(xù)居高不下。在創(chuàng)紀(jì)錄的一周下載量中,Zoom 的下載量是 2019 年第四季度美國(guó)每周平均下載量的 14 倍。英國(guó)的下載量也是第四季度每周平均下載量的 20多倍,法國(guó)是 22 倍,德國(guó)是 17 倍,西班牙是 27 倍,意大利更是達(dá)到 55 倍,當(dāng)之無愧成為國(guó)外辦公的軟件。
不過,Zoom 最近卻接連被曝出安全隱患,甚至 FBI 都對(duì)其發(fā)出警告, NASA、SpaceX 還要求員工禁用,那么,作為視頻會(huì)議“黑馬”的 Zoom 究竟做錯(cuò)了什么?
雷鋒網(wǎng)此前報(bào)道,3 月 26 日,Motherboard 刊文指出,在 iOS 系統(tǒng)下載或打開 Zoom App 時(shí),App內(nèi)嵌的 Facebook SDK(軟件開發(fā)工具包)會(huì)向 Facebook 傳送用戶的手機(jī)型號(hào)、時(shí)區(qū)、城市、運(yùn)營(yíng)商以及廣告唯一標(biāo)識(shí)符等信息,而 iOS 版本的 Zoom 未在隱私條款中提前說明,就將用戶數(shù)據(jù)共享給臉書,即便用戶沒有臉書賬號(hào)也是如此。
隨后,Zoom 承認(rèn)了這個(gè)漏洞。他們表示,將在近日刪除臉書的SDK,并重新配置該功能。
巧合的是,3 月 31 日,Zoom 的另一個(gè)功能設(shè)置漏洞被 Motherboard 的同一個(gè)作者發(fā)現(xiàn)。
據(jù)報(bào)道,Windows 版 Zoom 客戶端爆出了容易受到 NUC 路徑注入攻擊的安全漏洞。Zoom 的“公司目錄”下會(huì)展示使用同一郵箱域名的同事姓名、頭像和郵箱,由系統(tǒng)自動(dòng)判斷,省掉了一個(gè)個(gè)添加同事的麻煩。但也帶來了一個(gè)隱患:如果用戶用私人郵箱注冊(cè),可能會(huì)看到同樣使用該郵箱域名的陌生人,而攻擊者利用聊天模塊的漏洞,竊取點(diǎn)擊相關(guān)鏈接的用戶的 Windows 登陸憑據(jù)。
研究人員稱漏洞可能使本地、非特權(quán)攻擊者具有根本權(quán)限,并允許他們?cè)L問受害者的麥克風(fēng)和攝像機(jī)。
此外,除了竊取 Windows 登陸憑據(jù),研究人員還透露,通過點(diǎn)擊鏈接的方式,UNC 注入還適用于啟動(dòng)本地計(jì)算機(jī)上的程序(比如 CMD 命令提示符)。
不過,值得慶幸的是,該漏洞僅影響 Zoom 的 Windows 客戶端。在 Apple 的 mac OS 上,Zoom 客戶端是不會(huì)允許該鏈接生效的。
值得關(guān)注的是,美國(guó)聯(lián)邦調(diào)查局(FBI)波士頓辦公室在美國(guó)當(dāng)?shù)貢r(shí)間本周一發(fā)布了一份關(guān)于 Zoom 的警告,提醒用戶不要在 Zoom 進(jìn)行公開會(huì)議或者廣泛分享鏈接,其還談到此前已經(jīng)發(fā)生了多起身份不明的人入侵學(xué)校網(wǎng)絡(luò)課程的事件。
3 月 28 日 SpaceX 在發(fā)給員工的一封電子郵件中要求員工立即停止使用 Zoom 。信中談到:“我們知道,我們中的很多人正在使用這一工具進(jìn)行會(huì)議。但請(qǐng)使用電子郵件、短信或者電話作為代替通信的手段?!?/p>
與此同時(shí),美國(guó)航天局發(fā)言人斯蒂芬妮·希爾霍爾茨也表示,NASA 也已經(jīng)禁止員工使用 Zoom 。
所以,難免有人會(huì)問這個(gè)視頻會(huì)議界的“黑馬”究竟是哪里出了問題?
Zoom為何屢被暴露安全隱私問題?
雷鋒網(wǎng)了解到,Zoom 在其網(wǎng)站和安全性白皮書中聲明,其支持會(huì)議的端到端加密。但是,安全人員的最新研究表明,事實(shí)并非如此。
事實(shí)上,Zoom 的確使用了 TLS 加密,它被廣泛用于 HTTPS 超文本傳輸,這意味著,Zoom 服務(wù)器到用戶個(gè)人之間的傳輸處于加密狀態(tài),但是,“端到端加密”通常是指完全保護(hù)用戶之間的內(nèi)容,而公司并沒有訪問權(quán)限,類似于 Signal 或 Whats App。而 Zoom 沒有提供這種級(jí)別的加密,這使得“端到端”的使用極具誤導(dǎo)性。
也就是說,雖然用戶和 Zoom 服務(wù)器之間的連接被加密,但是并不能阻止 Zoom 本身看到呼叫過程。然而,Zoom 稱,在隱私保護(hù)方面,Zoom 僅獲取用戶有限的操作系統(tǒng)版本、IP 地址、硬件設(shè)備等有限信息,也不允許員工有權(quán)訪問用戶會(huì)議內(nèi)容以及販賣用戶資料。
值得注意的是,在其隱私權(quán)政策中,在“Zoom 會(huì)出售個(gè)人數(shù)據(jù)嗎?”條目下,Zoom 的說法是:“取決于您所說的‘賣出'?!盳oom 的政策雖然聲稱不會(huì)將個(gè)人數(shù)據(jù)出售給第三方,但卻會(huì)與這些公司的“第三方”共享個(gè)人數(shù)據(jù)目的。
這就有點(diǎn)“自相矛盾”了,我是該相信你還是不相信你呢?
除此之外,Zoom 上還有一個(gè)默認(rèn)設(shè)置,允許任何會(huì)議參與者在沒有得到會(huì)議主持人許可的情況下共享他們的屏幕。而任何擁有公共會(huì)議鏈接的人都可以加入其中。有安全人員還爆料稱,關(guān)于 Zoom 公共會(huì)議的鏈接在 Facebook 群組和 Discord 聊天中進(jìn)行交易,人們?cè)?Twitter 和公開頁面上也很容易找到這類鏈接。
這無疑為黑客的入侵提供了一種更為便捷的通道。
網(wǎng)友們也表示,難道國(guó)內(nèi)的釘釘、騰訊會(huì)議不不香嗎?
那么,對(duì)于繼續(xù)使用 Zoom 來辦公的用戶,他們要如何保障安全呢?對(duì)此,安全研究人員也給出了一些建議:
對(duì)于來自未知發(fā)件人的電子郵件和文件要小心。
不要打開未知的附件或點(diǎn)擊電子郵件中的鏈接。小心類似的域名,拼寫錯(cuò)誤的電子郵件和網(wǎng)站,以及不熟悉的電子郵件發(fā)送者。
請(qǐng)勿使用社交帳號(hào)登錄 Zoom:這樣做可以節(jié)省時(shí)間,但是很不安全,會(huì)大大增加 Zoom 可以訪問的個(gè)人隱私數(shù)據(jù)量。
在 Zoom 通話期間使用兩個(gè)設(shè)備:如果您正在計(jì)算機(jī)上參加 Zoom 通話,請(qǐng)使用手機(jī)檢查電子郵件或與其他通話參與者聊天。
保持 Zoom 應(yīng)用程序更新:Zoom 從其最新版本的應(yīng)用程序中刪除了遠(yuǎn)程 Web 服務(wù)器。如果您最近下載了 Zoom ,則無需擔(dān)心此特定漏洞。
雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)
參考資料:
[1] https://www.iphoneincanada.ca/news/zoom-macos/
[2] https://blog.checkpoint.com/2020/03/30/covid-19-impact-cyber-criminals-target-zoom-domains/
[3]http://www.ozgbdpf.cn/news/202003/1hlfFMtOfYsaTGzM.html
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。