雷鋒網(wǎng)導(dǎo)語：保障用戶隱私和信息安全問題已成為當(dāng)下的焦點(diǎn)話題，對(duì)于一家市值已超過 200 億美金的云視頻企服獨(dú)角獸 Zoom 來講，卻在這件事兒上栽了跟頭。

近日，一個(gè)名為 “Prying-Eye” 的漏洞得到公布，該漏洞可讓入侵者掃描未受保護(hù)的視頻會(huì)議 ID 并監(jiān)聽企業(yè)的視頻會(huì)議內(nèi)容。

雷鋒網(wǎng)了解到，據(jù)多家外媒報(bào)道，“Prying-Eye”最早于今年 7 月發(fā)現(xiàn)，報(bào)告來自于應(yīng)用程度安全初創(chuàng)公司 Cequence 的一個(gè)部門 CQ Prime 威脅研究小組。該研究小組認(rèn)為，由于許多視頻會(huì)議不受密碼保護(hù)，Zoom 和思科旗下的 Webex 可受到攻擊。隨后，這兩家公司均為其系統(tǒng)發(fā)布了補(bǔ)丁程序。

具體來講，攻擊者可以利用 Prying-Eye 漏洞發(fā)起枚舉攻擊（enumeration attack），該攻擊可利用自動(dòng)檢測(cè)用作面向公眾的應(yīng)用程序的標(biāo)識(shí)符的數(shù)字或字母序列，最直接的做法就是蠻力猜測(cè) ID，如果會(huì)議不受密碼或其他身份驗(yàn)證的保護(hù)，就留給了攻擊者乘虛而入的機(jī)會(huì)。

研究小組使用了一種旨在掃描和發(fā)現(xiàn) Webex 和 Zoom 視頻會(huì)議 ID 的機(jī)器人以調(diào)用系統(tǒng) API。

對(duì)此，CQ Prime 方面表示，當(dāng)機(jī)器人在序列中循環(huán)查找有效會(huì)議 ID 時(shí)，它會(huì)確定 ID 是否有效以及是否需要密碼。攻擊者可回復(fù)并查看或收聽正在進(jìn)行中的會(huì)議，甚至還能通過該方法確定接下來用戶創(chuàng)建的會(huì)議 ID。

然而，這并不意味著攻擊者只能看到這些信息。一旦確定了不受保護(hù)的會(huì)議 ID，攻擊者還可以獲得有關(guān)該會(huì)議房間個(gè)人的更多信息，例如姓名、郵箱等。

值得注意的是，目前尚沒有跡象表明該漏洞已在 Zoom 或 Webex 上被利用。

• 思科給到的解決方案是，一個(gè)修復(fù)并發(fā)出漏洞錯(cuò)誤警告的“顧問”。它會(huì)建議管理員保留默認(rèn)配置，該默認(rèn)配置要求在創(chuàng)建會(huì)議時(shí)使用密碼。默認(rèn)情況下，Webex 在會(huì)議設(shè)置過程中，為不要求密碼保護(hù)的站點(diǎn)提供了隨機(jī)生成的密碼；不過，如果站點(diǎn)允許，用戶也可以使用自己的密碼替換該密碼或禁用密碼保護(hù)。

• 而 Zoom 表示已對(duì)服務(wù)器保護(hù)功能進(jìn)行改進(jìn)，以防止機(jī)器人攻擊；并正為視頻會(huì)議密碼設(shè)置問題發(fā)布新的控件。此次升級(jí)將添加賬戶、組、用戶級(jí)別等新設(shè)置，這一做法旨在讓賬戶所有者和管理員對(duì)會(huì)議密碼有更多的控制權(quán)。在此之前，用戶可要求使用密碼來安排新會(huì)議，設(shè)置即時(shí)會(huì)議和個(gè)人會(huì)議 ID。

• 9 月 29 日起，對(duì)沒有 Zoom Room 的賬戶默認(rèn)啟用新的密碼設(shè)置。11 月 23 日開始，對(duì)擁有 Zoom Room 的賬戶默認(rèn)啟用新的密碼設(shè)置。

實(shí)際上，早在今年 7 月，Zoom 就因用戶卸載該應(yīng)用程序而無法從 Mac 中刪除 Web 服務(wù)器一事而鬧得沸沸楊。盡管 Zoom 解決了該漏洞，但后來蘋果公司被迫出面進(jìn)行干預(yù)以確保所有 Mac 用戶都受到保護(hù)。

Zoom 在中國的“煩惱”

在中國的視頻會(huì)議市場(chǎng)，除了本土技術(shù)供應(yīng)商之外，Zoom、Webex 等基于互聯(lián)網(wǎng)的云視頻會(huì)議廠商主要通過代理商的方式進(jìn)入中國，提供產(chǎn)品支持的同時(shí)將完整解決方案的服務(wù)和運(yùn)營交給本土代理商。

毫無疑問，Zoom 是云視頻領(lǐng)域炙手可熱的企服公司，于今年 4 月登陸納斯達(dá)克，上市首日股價(jià)大漲 72%，并一度突破 200 億美金市值。國際數(shù)據(jù)公司 International Data 估計(jì)，到 2022 年，Zoom 所在的細(xì)分市場(chǎng)價(jià)值可能高達(dá) 431 億美元。

Source: Kena Betancur/ Getty Images / AFP

其創(chuàng)始人創(chuàng)始人兼 CEO 袁征曾先后為 Webex、思科服務(wù)了近 14 年，Zoom 的創(chuàng)立也直接對(duì)標(biāo)思科 Webex，適合不同規(guī)模的企業(yè)用戶使用。公開資料顯示，截至 2015 年，Zoom 在全球已經(jīng)擁有超 4000 萬用戶，在國內(nèi)市場(chǎng)，其客戶涵蓋了美的、三一集團(tuán)、農(nóng)商銀行等企業(yè)。

然而，近段時(shí)間，Zoom 在中國市場(chǎng)的開拓卻頻遭挫折。

上月， Zoom 的用戶在眾多社交平臺(tái)上表示“Zoom 無法訪問，內(nèi)地用戶無法使用 Zoom 國際版，無法發(fā)起 Zoom 會(huì)議”，隨后，Zoom 官網(wǎng)承認(rèn)了這一消息，并表示到工信部通知已經(jīng)全面封停 Zoom 國際版服務(wù)器，后期也會(huì)持續(xù)封停。

關(guān)于被關(guān)停的原因，“極有可能是因?yàn)?Zoom 的服務(wù)器位于國外，而我國規(guī)定在境內(nèi)從事電信活動(dòng)需持有經(jīng)營許可證，且運(yùn)營產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)需要在境內(nèi)存儲(chǔ)?！鄙耆f宏源證券分析師施鑫展在采訪中表示。

Zoom 在中國市場(chǎng)遭遇“被封”或許僅是一個(gè)開始，未來或?qū)⒋偈褂脩舨坏貌粚ふ移渌奶娲a(chǎn)品，那么這是否是本土云視頻供應(yīng)商的新機(jī)遇？

從 Zoom 本身的市場(chǎng)格局上來看，除了維持原有的業(yè)務(wù)優(yōu)勢(shì)外，勢(shì)必將通過拓展更多的應(yīng)用場(chǎng)景、產(chǎn)品及商業(yè)模式創(chuàng)新、加速國際化等方式已搶占更多的市場(chǎng)份額。

在雷鋒網(wǎng)看來，正如用戶對(duì)新型企業(yè)溝通方式的接受程度日漸提高的當(dāng)下，更多的視頻會(huì)議供應(yīng)商也意識(shí)到必須掙脫原有 “會(huì)議” 內(nèi)涵的束縛，嘗試尋找基礎(chǔ)視頻能力之外，與行業(yè)應(yīng)用深入整合的第二業(yè)務(wù)，例如雙師課堂、遠(yuǎn)程診療、企業(yè)協(xié)作等新興場(chǎng)景的拓展。

對(duì)于 Zoom 而言，接下來在中國市場(chǎng)面臨的最大風(fēng)險(xiǎn)勢(shì)必來自政策的導(dǎo)向。國家政策對(duì)信息安全的強(qiáng)要求下，Zoom 等海外企業(yè)想要進(jìn)入中國將迎來愈加嚴(yán)格的管控方式，整個(gè)中國視頻會(huì)議行業(yè)的格局及走向也會(huì)有新的變化。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。