新冠疫情爆发以来,在线会议平台zoom的应用也在爆发。从之前的日均1千万用户使用激增到2亿用户。随着zoom使用量的爆发,大量的安全问题也暴露出来,反应出其安全设计和措施上的懈怠。以至于zoom首席执行官袁征公开道歉,承认存在安全问题并表示要努力解决。
安全问题之多,甚至有安全公司发出“zoom就是恶意软件”的声音。当然zoom是一个合法正规的商业化软件,只不过存在着漏洞、隐私等很多的安全问题:
1. zoom的隐私政策
zoom的隐私政策导致其很有可能收集大量的用户数据,并与第三方共享。如视频、列表、共享注释等,甚至访问它的网站k8凯发天生赢家主页(zoom.us,zoom.com)的数据。3月29日,zoom加强了它的隐私策略,声明不会将会议数据用做广告用途。
2. ios应用
zoom的ios应用也集成了脸书的sdk,即使用户没有脸书的账户也会发送分析数据到该社交平台。之后更新的版本中,zoom已移除了这个功能。
3. 与会者跟踪
这个功能允许zoom在会议中判断与会者是否离开了会议主窗口。4月2日,zoom永久移除了这个功能。
4. 隐默安装
zoom在安装它的mac版应用时使用了“隐默安装”技术,无需用户同意。mac恶意软件通常也会使用同样的技术。同样在4月2日,zoom的更新版本解决了这个问题。
5. windows应用漏洞
在之前的windows版本中,存在一个unc(统一命名规则)漏洞,攻击者可用来远程盗取windows登录凭证,甚至执行任意代码。
6. mac漏洞
通过漏洞,可以获取root权限,并访问mac系统上的麦克和摄像头。和上面的windows漏洞一样,在4月2日的更新中已经将问题修复。
7. 数据关联
当用户登录时,在不知情的情况下自动匹配用户在linkedin上的姓名和邮件地址。该功能目前也已经被禁止。
8. 邮件误关联
据新媒体vice报道,zoom泄露了至少数千个用户邮件地址和照片,并允许陌生人彼此建立会议呼入。这些邮件地址使用相同的域名(主流邮件提供商如gmail/outlook/hotmail/雅虎等不包括在内),被zoom当做同一公司的员工。
9. 视频数据泄露
华盛顿邮报4月3日报道,利用zoom的自动命名规则,可搜索到zoom的会议视频数据,这些数据放在aws存储桶中,可公开访问。
10. 弱口令
研究人员开发了一个搜索工具,通过该工具每小时可发现100余个zoom会议的id,且没有任何口令保护。
11. 非真正的端到端加密
zoom称在会议中,一方产生的音频、视频、屏幕共享和聊天等数据,在到达另一方之前是无法被解密的。但实际上,zoom仅实现了对部分文本信息和音频的端到端加密。同时,其会议录制的增值服务将密钥放在了云端,意味着攻击者或政府情报机构可以通过某种手段获得密钥。
12. 屏幕炸弹
被称为zoombombing的恶意攻击,利用zoom不安全的默认配置可取得会议屏幕共享权,往屏幕上发送色情或恐怖等不良图片及信息。fbi还特为此种攻击发布了警告。
数世咨询评:
作为一个企业级会议服务平台,zoom存在如此多的安全问题,难怪业界发出“zoom就是恶意软件”的声音。但平心而论,任何一款软件应用在遇到爆发时期总会出现各种各样的问题。很多人应该记得,多年前的“windows还是linux谁更安全”之争,其实质就是谁的应用更广泛的问题。但不管怎样,在一个科技飞速发展万物互联的数字世界,安全已经远落后于技术应用的进步,是一个不争的事实。这才是我们每一个安全从业人员值得警惕并为之努力的主题。
关键词:zoom;新冠疫情;
参考资料:
https://blogs.harvard.edu/doc/2020/03/27/zoom/
https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account
https://www.eff.org/deeplinks/2020/03/what-you-should-know-about-online-tools-during-covid-19-crisis
https://twitter.com/c1truz_/status/1244737672930824193
https://thehackernews.com/2020/04/zoom-windows-password.html
https://objective-see.com/blog/blog_0x56.html
https://www.nytimes.com/2020/04/02/technology/zoom-linkedin-data.html
https://www.vice.com/en_us/article/k7e95m/zoom-leaking-email-addresses-photos
https://www.washingtonpost.com/technology/2020/04/03/thousands-zoom-video-calls-left-exposed-open-web/
https://krebsonsecurity.com/2020/04/war-dialing-tool-exposes-zooms-password-problems/
https://blog.cryptographyengineering.com/2020/04/03/does-zoom-use-end-to-end-encryption/
https://theintercept.com/2020/03/31/zoom-meeting-encryption/
https://www.nytimes.com/2020/04/03/technology/zoom-harassment-abuse-racism-fbi-warning.html
试用申请