被 NASA、SpaceX 禁用,FBI 警告的 Zoom,究竟哪里出了錯?

疫情之下,遠程辦公變成了剛需,云視頻會議的“用武之地”也越來越多。
應用商店情報公司 Sensor Tower 發布的一份相關報告顯示,Zoom 的下載量在 2 月和 3 月位居全球排行榜榜首,在美國、英國和歐洲其他地區的下載量繼續居高不下。在創紀錄的一周下載量中,Zoom 的下載量是 2019 年第四季度美國每周平均下載量的 14 倍。英國的下載量也是第四季度每周平均下載量的 20多倍,法國是 22 倍,德國是 17 倍,西班牙是 27 倍,意大利更是達到 55 倍,當之無愧成為國外辦公的軟件。
不過,Zoom最近卻接連被曝出安全隱患,甚至 FBI都對其發出警告,NASA、SpaceX還要求員工禁用,那么,作為視頻會議“黑馬”的 Zoom究竟做錯了什么?
不止一次的安全隱患事件
3 月 26 日,Motherboard 刊文指出,在 iOS 系統下載或打開 Zoom App 時,App內嵌的 Facebook SDK(軟件開發工具包)會向 Facebook 傳送用戶的手機型號、時區、城市、運營商以及廣告唯一標識符等信息,而 iOS 版本的 Zoom 未在隱私條款中提前說明,就將用戶數據共享給臉書,即便用戶沒有臉書賬號也是如此。
隨后,Zoom 承認了這個漏洞。他們表示,將在近日刪除臉書的SDK,并重新配置該功能。
巧合的是,3 月 31 日,Zoom 的另一個功能設置漏洞被 Motherboard 的同一個作者發現。
據報道,Windows 版 Zoom 客戶端爆出了容易受到 NUC 路徑注入攻擊的安全漏洞。Zoom 的“公司目錄”下會展示使用同一郵箱域名的同事姓名、頭像和郵箱,由系統自動判斷,省掉了一個個添加同事的麻煩。但也帶來了一個隱患:如果用戶用私人郵箱注冊,可能會看到同樣使用該郵箱域名的陌生人,而攻擊者利用聊天模塊的漏洞,竊取點擊相關鏈接的用戶的 Windows 登陸憑據。
研究人員稱漏洞可能使本地、非特權攻擊者具有根本權限,并允許他們訪問受害者的麥克風和攝像機。
此外,除了竊取 Windows 登陸憑據,研究人員還透露,通過點擊鏈接的方式,UNC 注入還適用于啟動本地計算機上的程序(比如 CMD 命令提示符)。
不過,值得慶幸的是,該漏洞僅影響 Zoom 的 Windows 客戶端。在 Apple 的 mac OS 上,Zoom 客戶端是不會允許該鏈接生效的。
值得關注的是,美國聯邦調查局(FBI)波士頓辦公室在美國當地時間本周一發布了一份關于 Zoom 的警告,提醒用戶不要在 Zoom 進行公開會議或者廣泛分享鏈接,其還談到此前已經發生了多起身份不明的人入侵學校網絡課程的事件。
3 月 28 日 SpaceX 在發給員工的一封電子郵件中要求員工立即停止使用 Zoom 。信中談到:“我們知道,我們中的很多人正在使用這一工具進行會議。但請使用電子郵件、短信或者電話作為代替通信的手段。”
與此同時,美國航天局發言人斯蒂芬妮·希爾霍爾茨也表示,NASA 也已經禁止員工使用 Zoom 。
所以,難免有人會問這個視頻會議界的“黑馬”究竟是哪里出了問題?
Zoom為何屢被暴露安全隱私問題?
Zoom 在其網站和安全性白皮書中聲明,其支持會議的端到端加密。但是,安全人員的最新研究表明,事實并非如此。
事實上,Zoom 的確使用了 TLS 加密,它被廣泛用于 HTTPS 超文本傳輸,這意味著,Zoom 服務器到用戶個人之間的傳輸處于加密狀態,但是,“端到端加密”通常是指完全保護用戶之間的內容,而公司并沒有訪問權限,類似于 Signal 或 Whats App。而 Zoom 沒有提供這種級別的加密,這使得“端到端”的使用極具誤導性。
也就是說,雖然用戶和 Zoom 服務器之間的連接被加密,但是并不能阻止 Zoom 本身看到呼叫過程。然而,Zoom 稱,在隱私保護方面,Zoom 僅獲取用戶有限的操作系統版本、IP 地址、硬件設備等有限信息,也不允許員工有權訪問用戶會議內容以及販賣用戶資料。
值得注意的是,在其隱私權政策中,在“Zoom 會出售個人數據嗎?”條目下,Zoom 的說法是:“取決于您所說的‘賣出'。”Zoom 的政策雖然聲稱不會將個人數據出售給第三方,但卻會與這些公司的“第三方”共享個人數據目的。
這就有點“自相矛盾”了,我是該相信你還是不相信你呢?
除此之外,Zoom 上還有一個默認設置,允許任何會議參與者在沒有得到會議主持人許可的情況下共享他們的屏幕。而任何擁有公共會議鏈接的人都可以加入其中。有安全人員還爆料稱,關于 Zoom 公共會議的鏈接在 Facebook 群組和 Discord 聊天中進行交易,人們在 Twitter 和公開頁面上也很容易找到這類鏈接。
這無疑為黑客的入侵提供了一種更為便捷的通道。
網友們也表示,難道國內的釘釘、騰訊會議不不香嗎?
如何保護用戶安全?
那么,對于繼續使用Zoom來辦公的用戶,他們要如何保障安全呢?對此,安全研究人員也給出了一些建議:
·對于來自未知發件人的電子郵件和文件要小心。
·不要打開未知的附件或點擊電子郵件中的鏈接。小心類似的域名,拼寫錯誤的電子郵件和網站,以及不熟悉的電子郵件發送者。
·請勿使用社交帳號登錄 Zoom:這樣做可以節省時間,但是很不安全,會大大增加 Zoom 可以訪問的個人隱私數據量。
·在 Zoom 通話期間使用兩個設備:如果您正在計算機上參加 Zoom 通話,請使用手機檢查電子郵件或與其他通話參與者聊天。
·保持 Zoom 應用程序更新:Zoom 從其最新版本的應用程序中刪除了遠程 Web 服務器。如果您最近下載了 Zoom ,則無需擔心此特定漏洞。