瞬间爆发导致安全断层：Zoom安全问题大合集

新冠疫情爆发以来，在线会议平台Zoom的应用也在爆发。从之前的日均1千万用户使用激增到2亿用户。随着Zoom使用量的爆发，大量的安全问题也暴露出来，反应出其安全设计和措施上的懈怠。以至于Zoom首席执行官袁征公开道歉，承认存在安全问题并表示要努力解决。

安全问题之多，甚至有安全公司发出“Zoom就是恶意软件”的声音。当然Zoom是一个合法正规的商业化软件，只不过存在着漏洞、隐私等很多的安全问题：

1. Zoom的隐私政策

Zoom的隐私政策导致其很有可能收集大量的用户数据，并与第三方共享。如视频、列表、共享注释等，甚至访问它的网站主页(zoom.us,zoom.com)的数据。3月29日，Zoom加强了它的隐私策略，声明不会将会议数据用做广告用途。

2. iOS应用

Zoom的iOS应用也集成了脸书的SDK，即使用户没有脸书的账户也会发送分析数据到该社交平台。之后更新的版本中，Zoom已移除了这个功能。

3. 与会者跟踪

这个功能允许zoom在会议中判断与会者是否离开了会议主窗口。4月2日，zoom永久移除了这个功能。

4. 隐默安装

zoom在安装它的Mac版应用时使用了“隐默安装”技术，无需用户同意。Mac恶意软件通常也会使用同样的技术。同样在4月2日，zoom的更新版本解决了这个问题。

5. Windows应用漏洞

在之前的windows版本中，存在一个UNC（统一命名规则）漏洞，攻击者可用来远程盗取windows登录凭证，甚至执行任意代码。

6. Mac漏洞

通过漏洞，可以获取root权限，并访问Mac系统上的麦克和摄像头。和上面的windows漏洞一样，在4月2日的更新中已经将问题修复。

7. 数据关联

当用户登录时，在不知情的情况下自动匹配用户在LinkedIn上的姓名和邮件地址。该功能目前也已经被禁止。

8. 邮件误关联

据新媒体Vice报道，zoom泄露了至少数千个用户邮件地址和照片，并允许陌生人彼此建立会议呼入。这些邮件地址使用相同的域名（主流邮件提供商如Gmail/Outlook/Hotmail/雅虎等不包括在内），被zoom当做同一公司的员工。

9. 视频数据泄露

华盛顿邮报4月3日报道，利用zoom的自动命名规则，可搜索到zoom的会议视频数据，这些数据放在AWS存储桶中，可公开访问。

10. 弱口令

研究人员开发了一个搜索工具，通过该工具每小时可发现100余个zoom会议的ID，且没有任何口令保护。

11. 非真正的端到端加密

zoom称在会议中，一方产生的音频、视频、屏幕共享和聊天等数据，在到达另一方之前是无法被解密的。但实际上，Zoom仅实现了对部分文本信息和音频的端到端加密。同时，其会议录制的增值服务将密钥放在了云端，意味着攻击者或政府情报机构可以通过某种手段获得密钥。

12. 屏幕炸弹

被称为zoombombing的恶意攻击，利用zoom不安全的默认配置可取得会议屏幕共享权，往屏幕上发送色情或恐怖等不良图片及信息。FBI还特为此种攻击发布了警告。

数世咨询评：

作为一个企业级会议服务平台，Zoom存在如此多的安全问题，难怪业界发出“Zoom就是恶意软件”的声音。但平心而论，任何一款软件应用在遇到爆发时期总会出现各种各样的问题。很多人应该记得，多年前的“Windows还是Linux谁更安全”之争，其实质就是谁的应用更广泛的问题。但不管怎样，在一个科技飞速发展万物互联的数字世界，安全已经远落后于技术应用的进步，是一个不争的事实。这才是我们每一个安全从业人员值得警惕并为之努力的主题。

参考资料：

https://blogs.harvard.edu/doc/2020/03/27/zoom/

https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account

https://www.eff.org/deeplinks/2020/03/what-you-should-know-about-online-tools-during-covid-19-crisis

https://twitter.com/c1truz_/status/1244737672930824193

https://thehackernews.com/2020/04/zoom-windows-password.html

https://objective-see.com/blog/blog_0x56.html

https://www.nytimes.com/2020/04/02/technology/zoom-linkedin-data.html

https://www.vice.com/en_us/article/k7e95m/zoom-leaking-email-addresses-photos

https://www.washingtonpost.com/technology/2020/04/03/thousands-zoom-video-calls-left-exposed-open-web/

https://krebsonsecurity.com/2020/04/war-dialing-tool-exposes-zooms-password-problems/

https://blog.cryptographyengineering.com/2020/04/03/does-zoom-use-end-to-end-encryption/

https://theintercept.com/2020/03/31/zoom-meeting-encryption/

https://www.nytimes.com/2020/04/03/technology/zoom-harassment-abuse-racism-fbi-warning.html

声明：本文来自数世咨询，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。