新冠疫情爆发以来,在线会议平台Zoom的应用也在爆发。从之前的日均1千万用户使用激增到2亿用户。随着Zoom使用量的爆发,大量的安全问题也暴露出来,反应出其安全设计和措施上的懈怠。以至于Zoom首席执行官袁征公开道歉,承认存在安全问题并表示要努力解决。

安全问题之多,甚至有安全公司发出“Zoom就是恶意软件”的声音。当然Zoom是一个合法正规的商业化软件,只不过存在着漏洞、隐私等很多的安全问题:

1. Zoom的隐私政策

Zoom的隐私政策导致其很有可能收集大量的用户数据,并与第三方共享。如视频、列表、共享注释等,甚至访问它的网站主页(zoom.us,zoom.com)的数据。3月29日,Zoom加强了它的隐私策略,声明不会将会议数据用做广告用途。

2. iOS应用

Zoom的iOS应用也集成了脸书的SDK,即使用户没有脸书的账户也会发送分析数据到该社交平台。之后更新的版本中,Zoom已移除了这个功能。

3. 与会者跟踪

这个功能允许zoom在会议中判断与会者是否离开了会议主窗口。4月2日,zoom永久移除了这个功能。

4. 隐默安装

zoom在安装它的Mac版应用时使用了“隐默安装”技术,无需用户同意。Mac恶意软件通常也会使用同样的技术。同样在4月2日,zoom的更新版本解决了这个问题。

5. Windows应用漏洞

在之前的windows版本中,存在一个UNC(统一命名规则)漏洞,攻击者可用来远程盗取windows登录凭证,甚至执行任意代码。

6. Mac漏洞

通过漏洞,可以获取root权限,并访问Mac系统上的麦克和摄像头。和上面的windows漏洞一样,在4月2日的更新中已经将问题修复。

7. 数据关联

当用户登录时,在不知情的情况下自动匹配用户在LinkedIn上的姓名和邮件地址。该功能目前也已经被禁止。

8. 邮件误关联

据新媒体Vice报道,zoom泄露了至少数千个用户邮件地址和照片,并允许陌生人彼此建立会议呼入。这些邮件地址使用相同的域名(主流邮件提供商如Gmail/Outlook/Hotmail/雅虎等不包括在内),被zoom当做同一公司的员工。

9. 视频数据泄露

华盛顿邮报4月3日报道,利用zoom的自动命名规则,可搜索到zoom的会议视频数据,这些数据放在AWS存储桶中,可公开访问。

10. 弱口令

研究人员开发了一个搜索工具,通过该工具每小时可发现100余个zoom会议的ID,且没有任何口令保护。

11. 非真正的端到端加密

zoom称在会议中,一方产生的音频、视频、屏幕共享和聊天等数据,在到达另一方之前是无法被解密的。但实际上,Zoom仅实现了对部分文本信息和音频的端到端加密。同时,其会议录制的增值服务将密钥放在了云端,意味着攻击者或政府情报机构可以通过某种手段获得密钥。

12. 屏幕炸弹

被称为zoombombing的恶意攻击,利用zoom不安全的默认配置可取得会议屏幕共享权,往屏幕上发送色情或恐怖等不良图片及信息。FBI还特为此种攻击发布了警告。

数世咨询评:

作为一个企业级会议服务平台,Zoom存在如此多的安全问题,难怪业界发出“Zoom就是恶意软件”的声音。但平心而论,任何一款软件应用在遇到爆发时期总会出现各种各样的问题。很多人应该记得,多年前的“Windows还是Linux谁更安全”之争,其实质就是谁的应用更广泛的问题。但不管怎样,在一个科技飞速发展万物互联的数字世界,安全已经远落后于技术应用的进步,是一个不争的事实。这才是我们每一个安全从业人员值得警惕并为之努力的主题。

参考资料:

https://blogs.harvard.edu/doc/2020/03/27/zoom/

https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account

https://www.eff.org/deeplinks/2020/03/what-you-should-know-about-online-tools-during-covid-19-crisis

https://twitter.com/c1truz_/status/1244737672930824193

https://thehackernews.com/2020/04/zoom-windows-password.html

https://objective-see.com/blog/blog_0x56.html

https://www.nytimes.com/2020/04/02/technology/zoom-linkedin-data.html

https://www.vice.com/en_us/article/k7e95m/zoom-leaking-email-addresses-photos

https://www.washingtonpost.com/technology/2020/04/03/thousands-zoom-video-calls-left-exposed-open-web/

https://krebsonsecurity.com/2020/04/war-dialing-tool-exposes-zooms-password-problems/

https://blog.cryptographyengineering.com/2020/04/03/does-zoom-use-end-to-end-encryption/

https://theintercept.com/2020/03/31/zoom-meeting-encryption/

https://www.nytimes.com/2020/04/03/technology/zoom-harassment-abuse-racism-fbi-warning.html

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。