今天你Zoom了吗?近日,疫情期间大火的视频会议软件Zoom又爆出重大安全漏洞:数以万计私人视频被上传至公开网页,任何人都可在线围观!惊喜变惊吓!创始人袁征坦言,如果安全问题不解决,甚至会考虑开源Zoom代码。
冠状病毒疫情期间,视频会议软件使用量激增,其中表现尤其抢眼的软件就是Zoom。Zoom的日活跃用户从去年12月份的1000万人激增到现在的2亿人,成为了视频会议软件中的当红炸子鸡,无法出门的欧美用户用Zoom开会、上课、做培训,探亲、访友、看医生,甚至连办婚礼、开葬礼这样的事也被Zoom承包了。
Zoom最吸引人的就是“简单好用”,但“简单好用”的代价就是安全漏洞多,隐私问题没办法保证。
数万隐私视频遭泄漏,源于视频命名方式?
15000个视频被公开
近日,华盛顿邮报又报道出Zoom存在的重大安全漏洞:数以万计的私人Zoom视频被上传至公开网页,任何人都可在线围观!很惊悚有没有!
向华盛顿邮报爆料的是美国国家安全局的前研究员帕特里克·杰克逊(Patrick Jackson),他爆料称在开放的云存储空间中一次性搜到了15000个Zoom视频。
华盛顿邮报依着这条线索看到的Zoom视频包括:一对一治疗方案;远程医疗呼叫人员最新的培训方向,其中还有参会人员的名字和电话号码;小公司开会视频,带财务报表的那种;小学生上网课,孩子的脸、声音和样貌细节都能看见。很多视频都包含个人可识别信息,还有在家里进行的很多私密谈话,甚至还有美容师传授脱毛技巧的裸露视频。
命名方式单一安全性差
Zoom在视频通话时,默认状态下是不会录制视频的,但是会议主持人可以无需参加者同意录制视频保存在Zoom服务器或任何云端、公开网站,而且,录制好的Zoom视频都是相同的命名方式保存。
Jackson就发现了这个问题,并用免费的在线搜索引擎扫描了一下开放的云存储空间,在默认命名规则下,一次性搜索出了15000个视频。另外,还有一些视频保存在未受保护的Amazon存储桶中,用户无意间改成了公开访问,YouTube和Vimeo也能找到Zoom视频。
15000个视频就足以说明这不是用户的粗心大意,而是产品的设计问题。Zoom的设计师绕过了一些视频聊天程序常用的安全保护功能,如要求用户在保存视频时使用唯一的文件名。Zoom默认单一的命名方式是简单好操作,但也更容易受到黑客攻击。
Jackson称:“Zoom应该在提醒用户保护好视频方面做得更好,在设计上做一些调整,例如使用一种无法预测的方式命名视频,让视频能难在公开领域找到。”
Zoom发言人随后发表了一份声明,建议用户在视频录音上传时要谨慎行事:
“Zoom会议主持人录制视频时,Zoom将通知所有参会人员,并为主持人提供一种安全可靠的方式存储会议记录。Zoom会议视频仅按照主持人的选择保存在本地设备或Zoom云端,如果主持人选择将会议记录上传到其他位置,我们敦促务必格外谨慎,并与参会人员保持透明,仔细考虑会议是否包含敏感信息,符合参会人员合理期望。”
