Zoom漏洞频发还涉嫌虚假宣传
分析了Zoom代码的安全研究人员说,Zoom的软件依赖于一些技术,这些技术可能会使人们的电脑暴露给黑客。Zoom的数据共享设计,使得一些用户在未经所有会议相关人员同意的情况下可以录制谈话内容,可能会泄漏与会人员的隐私。
Zoom的默认设置允许新用户在打电话时突然向其他用户的电脑发送文本和图片,而这种屏幕共享功能会被“ zoombombing”随意利用。在接受《华盛顿邮报》采访时说,Zoom表示这项功能是为其核心用户群设计的,最近改变了学校的默认设置,只允许教师共享他们的屏幕。
前Facebook安全主管、现任斯坦福互联网天文台(Stanford Internet Observatory)负责人Alex Stamos表示,Zoom 的问题包括从愚蠢的设计到严重的产品安全缺陷,其中许多缺陷让他十分担心。
据网络安全公司VMRay 的一位技术分析师说,Zoom 用来加速安装的代码依赖于“糟糕的安全措施和 对用户撒谎”。Zoom 的首席执行官袁征在回应中说,该公司利用这些做法来“平衡”用户在使用该程序之前所需的“点击次数”。
Zoom 此次曝光的一系列安全漏洞中,最主要的是没有在视频通话中使用端到端加密,仅在部分文本信息和部分模式的音频中使用了这一加密方式,但却在视频应用中显示Zoom is using end to end encrypted connection。
Zoom 的发言人随后表示:现阶段不可能为Zoom 平台上的视频会议提供端到端加密。
Zoom为啥不用端到端
要了解端到端加密,首先要了解什么是信息加密。
在密码学中,加密是将明文信息改变为难以读取的密文内容,使之不可读的过程。只有拥有解密方法的对象,经由解密过程,才能将密文还原为正常可读的内容。
而端到端加密 (End-to-end encryption,E2EE)是一个只有参与通讯的用户可以读取信息的通信加密系统。总的来说,它可以防止潜在的窃听者——包括电信供应商、互联网服务供应商甚至是该通讯系统的提供者——获取能够用以解密通讯的密钥。此类系统可以防止潜在的监视或篡改,因为没有密钥的第三方难以破译系统中传输或储存的数据。使用端到端加密的通讯提供商比如whatsapp,就无法将其客户的通讯数据提取出来,所以这种加密方式也会给警方调查取证造成一定困扰。
无加密的情况下,A到B的任何一个环节都可以查看和修改信息;SSL加密从A到服务器,服务器到B的信息传输都是安全的,但服务器上的信息是解密的;端到端加密A端使用用户B的公钥加密,服务器是没有密钥的,B端用户再用私钥解密,整个传输过程都是加密的。
1994年,NetScape公司设计了SSL协议(Secure Sockets Layer),1999年,互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS,而TLS就是Zoom现在使用的视频加密方式,所以用户数据还是可以被窃取的。
端到端加密这么好,为什么Zoom不用呢?
首先,端到端加密只能提高通讯内容的保密性,它不能阻止通讯被彻底中断;然后是,端到端加密时,通讯双方的地址必须是公开的。比如Zoom帮你传递一段端到端加密的视频,Zoom可能没法知道视频的内容,但它肯定知道收发双方的地址、收货人和发货人是谁,而且Zoom也保证不了一定能送达。因此对于有更高保密需求的应用环境,还必须与其他层次的加密方式相结合,才能够达到较好的效果。
立即停止开发新功能,全力补作业
3月20日,帮助用户解决了平台上的骚扰事件(或所谓的“ Zoombombing”) ,提醒用户可以防止骚扰的办法,例如等候室、密码、静音控制和限制屏幕共享等。
3月27日,移除了iOS客户端的Facebook SDK。
3月29日,更新了隐私政策,明确声明我们不出售用户数据,我们过去从未出售过用户数据,将来也没有打算出售用户数据。
对于教育用户,Zoom推出了一个管理员指南帮助更好地维护虚拟教室,还专门建立了一个K-12隐私政策。
