雷鋒網(wǎng)導語：保障用戶隱私和信息安全問題已成為當下的焦點話題，對于一家市值已超過 200 億美金的云視頻企服獨角獸 Zoom 來講，卻在這件事兒上栽了跟頭。

近日，一個名為 “Prying-Eye” 的漏洞得到公布，該漏洞可讓入侵者掃描未受保護的視頻會議 ID 并監(jiān)聽企業(yè)的視頻會議內(nèi)容。

雷鋒網(wǎng)了解到，據(jù)多家外媒報道，“Prying-Eye”最早于今年 7 月發(fā)現(xiàn)，報告來自于應用程度安全初創(chuàng)公司 Cequence 的一個部門 CQ Prime 威脅研究小組。該研究小組認為，由于許多視頻會議不受密碼保護，Zoom 和思科旗下的 Webex 可受到攻擊。隨后，這兩家公司均為其系統(tǒng)發(fā)布了補丁程序。

具體來講，攻擊者可以利用 Prying-Eye 漏洞發(fā)起枚舉攻擊（enumeration attack），該攻擊可利用自動檢測用作面向公眾的應用程序的標識符的數(shù)字或字母序列，最直接的做法就是蠻力猜測 ID，如果會議不受密碼或其他身份驗證的保護，就留給了攻擊者乘虛而入的機會。

研究小組使用了一種旨在掃描和發(fā)現(xiàn) Webex 和 Zoom 視頻會議 ID 的機器人以調(diào)用系統(tǒng) API。

對此，CQ Prime 方面表示，當機器人在序列中循環(huán)查找有效會議 ID 時，它會確定 ID 是否有效以及是否需要密碼。攻擊者可回復并查看或收聽正在進行中的會議，甚至還能通過該方法確定接下來用戶創(chuàng)建的會議 ID。

然而，這并不意味著攻擊者只能看到這些信息。一旦確定了不受保護的會議 ID，攻擊者還可以獲得有關(guān)該會議房間個人的更多信息，例如姓名、郵箱等。

值得注意的是，目前尚沒有跡象表明該漏洞已在 Zoom 或 Webex 上被利用。

• 思科給到的解決方案是，一個修復并發(fā)出漏洞錯誤警告的“顧問”。它會建議管理員保留默認配置，該默認配置要求在創(chuàng)建會議時使用密碼。默認情況下，Webex 在會議設(shè)置過程中，為不要求密碼保護的站點提供了隨機生成的密碼；不過，如果站點允許，用戶也可以使用自己的密碼替換該密碼或禁用密碼保護。

• 而 Zoom 表示已對服務器保護功能進行改進，以防止機器人攻擊；并正為視頻會議密碼設(shè)置問題發(fā)布新的控件。此次升級將添加賬戶、組、用戶級別等新設(shè)置，這一做法旨在讓賬戶所有者和管理員對會議密碼有更多的控制權(quán)。在此之前，用戶可要求使用密碼來安排新會議，設(shè)置即時會議和個人會議 ID。

• 9 月 29 日起，對沒有 Zoom Room 的賬戶默認啟用新的密碼設(shè)置。11 月 23 日開始，對擁有 Zoom Room 的賬戶默認啟用新的密碼設(shè)置。

實際上，早在今年 7 月，Zoom 就因用戶卸載該應用程序而無法從 Mac 中刪除 Web 服務器一事而鬧得沸沸楊。盡管 Zoom 解決了該漏洞，但后來蘋果公司被迫出面進行干預以確保所有 Mac 用戶都受到保護。

Zoom 在中國的“煩惱”

在中國的視頻會議市場，除了本土技術(shù)供應商之外，Zoom、Webex 等基于互聯(lián)網(wǎng)的云視頻會議廠商主要通過代理商的方式進入中國，提供產(chǎn)品支持的同時將完整解決方案的服務和運營交給本土代理商。

毫無疑問，Zoom 是云視頻領(lǐng)域炙手可熱的企服公司，于今年 4 月登陸納斯達克，上市首日股價大漲 72%，并一度突破 200 億美金市值。國際數(shù)據(jù)公司 International Data 估計，到 2022 年，Zoom 所在的細分市場價值可能高達 431 億美元。

Source: Kena Betancur/ Getty Images / AFP

其創(chuàng)始人創(chuàng)始人兼 CEO 袁征曾先后為 Webex、思科服務了近 14 年，Zoom 的創(chuàng)立也直接對標思科 Webex，適合不同規(guī)模的企業(yè)用戶使用。公開資料顯示，截至 2015 年，Zoom 在全球已經(jīng)擁有超 4000 萬用戶，在國內(nèi)市場，其客戶涵蓋了美的、三一集團、農(nóng)商銀行等企業(yè)。

然而，近段時間，Zoom 在中國市場的開拓卻頻遭挫折。

上月， Zoom 的用戶在眾多社交平臺上表示“Zoom 無法訪問，內(nèi)地用戶無法使用 Zoom 國際版，無法發(fā)起 Zoom 會議”，隨后，Zoom 官網(wǎng)承認了這一消息，并表示到工信部通知已經(jīng)全面封停 Zoom 國際版服務器，后期也會持續(xù)封停。

關(guān)于被關(guān)停的原因，“極有可能是因為 Zoom 的服務器位于國外，而我國規(guī)定在境內(nèi)從事電信活動需持有經(jīng)營許可證，且運營產(chǎn)生的個人信息和重要數(shù)據(jù)需要在境內(nèi)存儲。”申萬宏源證券分析師施鑫展在采訪中表示。

Zoom 在中國市場遭遇“被封”或許僅是一個開始，未來或?qū)⒋偈褂脩舨坏貌粚ふ移渌奶娲a(chǎn)品，那么這是否是本土云視頻供應商的新機遇？

從 Zoom 本身的市場格局上來看，除了維持原有的業(yè)務優(yōu)勢外，勢必將通過拓展更多的應用場景、產(chǎn)品及商業(yè)模式創(chuàng)新、加速國際化等方式已搶占更多的市場份額。

在雷鋒網(wǎng)看來，正如用戶對新型企業(yè)溝通方式的接受程度日漸提高的當下，更多的視頻會議供應商也意識到必須掙脫原有 “會議” 內(nèi)涵的束縛，嘗試尋找基礎(chǔ)視頻能力之外，與行業(yè)應用深入整合的第二業(yè)務，例如雙師課堂、遠程診療、企業(yè)協(xié)作等新興場景的拓展。

對于 Zoom 而言，接下來在中國市場面臨的最大風險勢必來自政策的導向。國家政策對信息安全的強要求下，Zoom 等海外企業(yè)想要進入中國將迎來愈加嚴格的管控方式，整個中國視頻會議行業(yè)的格局及走向也會有新的變化。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。