Zoom爆重大安全漏洞:数万视频被公开围观 CEO考虑开源

 邮箱网  0条评论  6323次浏览  2020年04月07日 星期二 11:46

分享到: 更多
中国邮箱网讯 4月7日消息 今天你Zoom了吗?近日,疫情期间大火的视频会议软件Zoom又爆出重大安全漏洞:数以万计私人视频被上传至公开网页,任何人都可在线围观!惊喜变惊吓!创始人袁征坦言,如果安全问题不解决,甚至会考虑开源Zoom代码。

冠状病毒疫情期间,视频会议软件使用量激增,其中表现尤其抢眼的软件就是Zoom。Zoom的日活跃用户从去年12月份的1000万人激增到现在的2亿人,成为了视频会议软件中的当红炸子鸡,无法出门的欧美用户用Zoom开会、上课、做培训,探亲、访友、看医生,甚至连办婚礼、开葬礼这样的事也被Zoom承包了。

Zoom最吸引人的就是“简单好用”,但“简单好用”的代价就是安全漏洞多,隐私问题没办法保证。

数万隐私视频遭泄漏,源于视频命名方式?

15000个视频被公开

近日,华盛顿邮报又报道出Zoom存在的重大安全漏洞:数以万计的私人Zoom视频被上传至公开网页,任何人都可在线围观!很惊悚有没有!

向华盛顿邮报爆料的是美国国家安全局的前研究员帕特里克·杰克逊(Patrick Jackson),他爆料称在开放的云存储空间中一次性搜到了15000个Zoom视频。


华盛顿邮报依着这条线索看到的Zoom视频包括:一对一治疗方案;远程医疗呼叫人员最新的培训方向,其中还有参会人员的名字和电话号码;小公司开会视频,带财务报表的那种;小学生上网课,孩子的脸、声音和样貌细节都能看见。很多视频都包含个人可识别信息,还有在家里进行的很多私密谈话,甚至还有美容师传授脱毛技巧的裸露视频。

命名方式单一安全性差

Zoom在视频通话时,默认状态下是不会录制视频的,但是会议主持人可以无需参加者同意录制视频保存在Zoom服务器或任何云端、公开网站,而且,录制好的Zoom视频都是相同的命名方式保存。

Jackson就发现了这个问题,并用免费的在线搜索引擎扫描了一下开放的云存储空间,在默认命名规则下,一次性搜索出了15000个视频。另外,还有一些视频保存在未受保护的Amazon存储桶中,用户无意间改成了公开访问,YouTube和Vimeo也能找到Zoom视频。

15000个视频就足以说明这不是用户的粗心大意,而是产品的设计问题。Zoom的设计师绕过了一些视频聊天程序常用的安全保护功能,如要求用户在保存视频时使用唯一的文件名。Zoom默认单一的命名方式是简单好操作,但也更容易受到黑客攻击。

Jackson称:“Zoom应该在提醒用户保护好视频方面做得更好,在设计上做一些调整,例如使用一种无法预测的方式命名视频,让视频能难在公开领域找到。”

Zoom发言人随后发表了一份声明,建议用户在视频录音上传时要谨慎行事:

“Zoom会议主持人录制视频时,Zoom将通知所有参会人员,并为主持人提供一种安全可靠的方式存储会议记录。Zoom会议视频仅按照主持人的选择保存在本地设备或Zoom云端,如果主持人选择将会议记录上传到其他位置,我们敦促务必格外谨慎,并与参会人员保持透明,仔细考虑会议是否包含敏感信息,符合参会人员合理期望。”

Zoom漏洞频发还涉嫌虚假宣传

分析了 Zoom 代码的安全研究人员说,Zoom 的软件依赖于一些技术,这些技术可能会使人们的电脑暴露给黑客。Zoom的数据共享设计,使得一些用户在未经所有会议相关人员同意的情况下可以录制谈话内容,可能会泄漏与会人员的隐私。

Zoom 的默认设置允许新用户在打电话时突然向其他用户的电脑发送文本和图片,而这种屏幕共享功能会被“ zoombombing”随意利用。在接受《华盛顿邮报》采访时说,Zoom表示这项功能是为其核心用户群设计的,最近改变了学校的默认设置,只允许教师共享他们的屏幕。

前 Facebook 安全主管、现任斯坦福互联网天文台(Stanford Internet Observatory)负责人Alex Stamos表示,Zoom 的问题包括从愚蠢的设计到严重的产品安全缺陷,其中许多缺陷让他十分担心。

据网络安全公司 VMRay 的一位技术分析师说,Zoom 用来加速安装的代码依赖于“糟糕的安全措施和 对用户撒谎”。Zoom 的首席执行官袁征在回应中说,该公司利用这些做法来“平衡”用户在使用该程序之前所需的“点击次数”。

Zoom 此次曝光的一系列安全漏洞中,最主要的是没有在视频通话中使用端到端加密,仅在部分文本信息和部分模式的音频中使用了这一加密方式,但却在视频应用中显示Zoom is using end to end encrypted connection。

Zoom 的发言人随后表示:现阶段不可能为 Zoom 平台上的视频会议提供端到端加密。

Zoom为啥不用端到端

要了解端到端加密,首先要了解什么是信息加密。

在密码学中,加密是将明文信息改变为难以读取的密文内容,使之不可读的过程。只有拥有解密方法的对象,经由解密过程,才能将密文还原为正常可读的内容。

而端到端加密 (End-to-end encryption,E2EE)是一个只有参与通讯的用户可以读取信息的通信加密系统。总的来说,它可以防止潜在的窃听者——包括电信供应商、互联网服务供应商甚至是该通讯系统的提供者——获取能够用以解密通讯的密钥。此类系统可以防止潜在的监视或篡改,因为没有密钥的第三方难以破译系统中传输或储存的数据。使用端到端加密的通讯提供商比如whatsapp,就无法将其客户的通讯数据提取出来,所以这种加密方式也会给警方调查取证造成一定困扰。

无加密的情况下,A到B的任何一个环节都可以查看和修改信息;SSL加密从A到服务器,服务器到B的信息传输都是安全的,但服务器上的信息是解密的;端到端加密A端使用用户B的公钥加密,服务器是没有密钥的,B端用户再用私钥解密,整个传输过程都是加密的。

1994年,NetScape公司设计了SSL协议(Secure Sockets Layer),1999年,互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS,而TLS就是Zoom现在使用的视频加密方式,所以用户数据还是可以被窃取的。

端到端加密这么好,为什么Zoom不用呢?

首先,端到端加密只能提高通讯内容的保密性,它不能阻止通讯被彻底中断;然后是,端到端加密时,通讯双方的地址必须是公开的。比如Zoom帮你传递一段端到端加密的视频,Zoom可能没法知道视频的内容,但它肯定知道收发双方的地址、收货人和发货人是谁,而且Zoom也保证不了一定能送达。因此对于有更高保密需求的应用环境,还必须与其他层次的加密方式相结合,才能够达到较好的效果。

立即停止开发新功能,全力补作业

3月20日,帮助用户解决了平台上的骚扰事件(或所谓的“ Zoombombing”) ,提醒用户可以防止骚扰的办法,例如等候室、密码、静音控制和限制屏幕共享等。

3月27日,移除了iOS客户端的Facebook SDK。

3月29日,更新了隐私政策,明确声明我们不出售用户数据,我们过去从未出售过用户数据,将来也没有打算出售用户数据。

对于教育用户,Zoom推出了一个管理员指南帮助更好地维护虚拟教室,还专门建立了一个K-12隐私政策。

4月1日,Zoom中文公告显示,Zoom将停止所有新功能的开发,并将全部工程资源用于解决最近的安全漏洞问题。

Zoom创立只是因为爱情,今天你Zoom了吗?

“我们已经认识到我们没有达到用户在隐私安全方面的期望。对此,我深表歉意。”

在Zoom的致歉信里,创始人兼CEO袁征重申了公司创立的初衷,听起来有为泄露事件脱罪之嫌,但言语之间也不乏真诚。“我们设计这个产品时并没有预见到,在几个星期内,全世界所有人都会突然在家办公,学习和社交。”

“无论是跨国公司要保持业务连贯性,地方政府要维持社区运转,学校老师要开展远程教育,还是隔离期间想和朋友共度美好时光,我们都极其荣幸能够帮助大家保持联系。”

“我们深感责任重大。Zoom 的用户量一夜之间激增,远超预期。其中包括来自20个国家的90,000多所学校,这些学校已经开展了远程教育。今年3月,我们每天的会议参与人数已超2亿人,有免费也有付费。我们一直在日以继夜地工作,以确保我们所有的新老用户可以保持联系和正常运作。”


简言之,核心思想是,Zoom所做的事业初衷是好的,对于疫情期间人与人的交流很有意义,大家不要过分苛责我们了。

让我们回到Zoom成立之初的愿景。

Zoom的创办灵感来自创始人袁征大一时期的女朋友,那时候他们还是异地恋,两个人相隔10几个小时的火车路程,每年只有寒暑假能够见上几面。对女友的思念让他萌生了创办共享视频网站的念头。对爱情的坚持让他最终抱得美人归。


2018年,他在美国求职网站Glassdoor发布的2018年全美Top100 CEO榜单上,以99%的支持率被评为最受欢迎CEO,甚至超过了Mark Zuckerburg和Tim Cook。2019年胡润百富榜上,他排名第78位。今年4月即将发布的《福布斯》亿万富翁排行榜上,他也榜上有名。

袁征是个传奇人物。相比于其他科技圈大佬,他远不能算得上是天资过人。袁征出生在山东泰安的一个采矿工程师家庭,1987年毕业于山东科技大学应用数学。1994年,他在日本出差时听到比尔盖茨的一次演讲,从此萌生了收拾行囊,来到大洋彼岸加入互联网大潮的想法。

赴美时,袁征普通话都有严重的口音,英语更是磕磕绊绊,当时美国海关要了他的英文名片,上面写的头衔是顾问,却被签证官理解成了兼职承包商。两年的时间里,他一共被拒签9次。1997年终于如愿赴美,一走就是二十载。初到美国以后,他开始边刷盘子边投简历,后来加入一家早期的网络会议应用公司WebEx开始写代码。

2000年左右,他每天和客户打交道心情都会变得很差,客户越来越不满,工作也开始束手束脚。2007年,WebEx被Cisco收购。

后来的故事,当上了Cisco工程副总裁的袁征带走了原公司的40多名工程师自立门户。2011年,Zoom正式成立,一开始为组织机构提供的服务都是无偿的。

虽然犯错,但初心是造福世界

在创业邦的采访中他表示,“我年轻的时候想要理解生活是为了什么,但却找不到答案。后来明白生活就是为了追求幸福,而为他人创造幸福,你自己的幸福才能持续。所以我创办公司也遵循这个原则,努力让客户幸福。”

袁征的儿子在上大一,因为疫情也开始用Zoom上课。袁征在福布斯采访中说:“我告诉我儿子,我终于明白我这么努力工作的意义了。我做这些工具就是为了让你们上网课用的。”

初心是好的,但越是风头正紧,越容易出问题。

泄露事件爆发后,和袁征同住一个屋檐下的母亲总是担心他的身体健康。袁征每天都躲在家中的办公室里,只睡两三个小时。

采访中他承认:“ 如果我有选择的话,我肯定会回到B2B业务上,而现在,游戏规则完全不同了。” 袁征甚至表示,如果不能把Zoom变成世界上最安全的平台,在接下来的几年里,他会考虑开源Zoom的代码。

此情此景有些似曾相识。Facebook爆出用户数据泄露事故以后,袁征最敬佩的企业家小扎表示,“脸书是我创办的,直到最后一天,我都会对平台上发生的事情负责。”

不知道对爱情和事业都永葆初心的袁征此时此刻正作何感想。

参考链接:

https://www.washingtonpost.com/technology/2020/04/03/thousands-zoom-video-calls-left-exposed-open-web/

https://www.cyzone.cn/article/520637.html

https://zh.wikipedia.org/wiki/%E8%A2%81%E5%BE%81

https://mp.weixin.qq.com/s/Q0i-ddBrVRcOGll8E6ii3A

标签:安全漏洞Zoom开源

我的评论:

请  后发表评论。