你会使用Zoom吗?当然会。2020年3月,冠状病毒大流行袭击北美和欧洲后,似乎所有必须开始工作、上学甚至在家社交的人都开始使用视频会议服务。
但是男孩,在那里都在养成痛苦。Zoom于2019年12月从2019年12月到达每日1000万用户,于2020年4月到3亿用户。其安全和隐私实践在敏锐的审查之下 - 专家不喜欢他们发现的东西。
结果发现,Zoom的端到端加密并不完全是端到端的,其他参加Zoom会议的人可以看到关于你的很多信息,恶作剧者和无聊的青少年可以用令人震惊或粗鲁的内容“Zoom炸弹”公开会议。
Zoom的隐私政策似乎也赋予了Zoom对用户个人数据为所欲为的权利。
自2020年春季以来,这些缺陷中的大多数已经得到修复或缓解,但新问题似乎定期出现。我们有一个运行列表,上面列出了Zoom的问题,哪些已经修复,哪些仍然是一个开放的问题——在我们给你一些如何让Zoom更安全使用的提示之后。
通过所有这些问题,人们一直在寻找缩放的替代品,所以查看我们的Skype VS缩放一款老旧的视频应用如何适应视频会议。我们也比较Zoom vs谷歌Hangouts也
如何让Zoom使用起来更安全
除非您正在讨论州或公司秘密,或向患者披露个人健康信息,否则缩放应该是可以使用的。它是易于设置,易于使用,最多可让100人免费加入会议。它只是工作。
对于学校的课程、下班后的聚会,甚至是只涉及日常事务的工作会议,使用Zoom没有太多风险。孩子们可能会继续涌向它,因为他们甚至可以使用它Snapchat的滤镜.
这是你可以做的事情来使ZOOM更安全:
- 设置变焦的双因素身份验证保护您的帐户。
- 通过Web浏览器加入缩放会议而不是通过Zoom桌面软件。反病毒公司指出,网络浏览器版本的安全增强速度更快,而且“坐在沙箱里”以限制安全问题卡巴斯基.
当您点击链接加入会议时,浏览器会打开一个新标签页,提示您使用或安装Zoom桌面软件。但有一个较小的链接“从浏览器加入”。点击。
- 要求缩放会议与会者使用密码登录如果您正在举办会议。这将大大降低zoom轰炸的可能性。
极速最近出的所有问题
我们将最新的Zoom问题放在最上面,并将较老的问题分为未解决的、已修复的和不属于任何一类的问题。
9月13日:加密的Zoom电话通话
Zoom宣布计划推出端到端加密来变焦的电话该公司为专业用户、企业用户或企业用户提供的付费云呼叫服务。端到端加密将是一对一Zoom电话通话的一个选项。
8月13日:Zoom修复黑客漏洞
Zoom通过其变焦安全公告这一在PWN2WORD比赛中展示了远程黑客缺陷四月已经修好了。
所有用户,无论是Windows、Mac还是Linux,都应该将他们的Zoom Client for Meetings软件更新到5.6.3或更高版本。
7月31日:Zoom了结集体诉讼
极速暂时达成了和解在一场联邦集体诉讼中,该公司涉嫌在未经通知或同意的情况下盗取安全信息、误导用户并与第三方共享用户个人数据。
根据该协议,尚未得到法官批准的,缩放将支付8500万美元,以便分发给2016年3月和现在在2016年3月之间进行缩放消费者账户的任何人。(企业和政府缩放账户持有人不是本诉讼的一部分。)
付费Zoom用户有资格获得15%的订阅费或25美元,以金额较大的为准;非付费用户有资格获得15美元。已知的班级成员将通过电子邮件或普通邮件收到通知,他们可以提出索赔,其他人可以在网站www.zoommeetingsclassaction.com上线时使用该网站。
Zoom不承认和解协议中有不当行为。
6月4日:新的Zoom隐私政策
Zoom发布了一个简单,清晰隐私政策反映了在线会议服务在新冠肺炎流行期间“从主要以企业为中心的产品转变为也被个人广泛使用的产品”。
更新后的隐私策略包括哪些人可以“查看、保存和共享”Zoom会议内容,以及Zoom从用户设备收集的数据类型。
你可以看报纸这里有完整更新的Zoom隐私“声明”.
5月1日:Zoom推出隐私通知
Zoom在一篇博客文章中宣布,它已经添加了隐私通知升级到最新版本的桌面客户端软件。
“用户将看到新的内部通知,旨在使其更容易理解谁可以在加入缩放上托管的会议和体验时看到,保存和分享他们的内容和信息,”帖子说。
通知会出现在会议聊天窗口的一个按钮上,标签是“谁可以看到你的消息?”在上面点击鼠标,就会弹出一个带有答案的通知气泡。
“当用户使用其他会议功能时,他们会发现类似的信息,”博客文章说,“比如转录、投票和问答。”
该公司补充说,未来的更新将包括会议主持人或参与者在会议期间使用Zoom转录或日程安排应用程序时的通知。
4月8日:Zoom漏洞让黑客劫持个人电脑和mac电脑
两名研究人员在Pwn2Own比赛中证明了他们可以远程控制Windows电脑和mac电脑通过在Zoom desktop应用程序中使用至少一个以前未知的漏洞。
幸运的是,只有这两名研究人员和Zoom自己完全了解这个漏洞的工作原理,他们正在解决这个问题。这种攻击被“随意”使用的可能性很低,但如果您担心,可以在会议期间使用Zoom浏览器界面,直到这个问题得到解决。
3月19日:瑕疵让其他Zoom用户看到太多东西
Zoom让会议参与者与同一会议中的其他人共享他们所有的电脑屏幕、屏幕的一部分,或者只是特定的应用程序窗口。
两名德国研究人员发现,有那么一小会儿可以看到整个屏幕即使共享屏幕的Zoom用户只打算使用屏幕的一部分。任何记录会议的参与者都可以在回放过程中冻结画面,并查看潜在的敏感信息。
Zoom表示正在努力解决该问题,但在撰写本文时,Zoom桌面客户端软件的最新版本中仍然存在该漏洞,至少适用于Windows和Linux。
2月23日:Zoom的Keybase加密聊天修复了一个严重漏洞
KEYBASE,在2020年5月,ZOOM购买的加密社交媒体验证系统和聊天应用程序一个严重的缺陷即使用户删除了在线目录中的图片,也会保留它们。
2021年1月初,该漏洞被报告给Zoom,当月晚些时候发布了修复该漏洞的Keybase软件更新。
2月8日:研究表明,试图阻止zoom轰炸通常不会起作用
波士顿大学(Boston University)和宾厄姆顿大学(Binghamton University)的研究人员进行的一项新研究发现,阻止“极速爆炸”的努力,比如要求密码或让与会者在“等候室”里焦虑,往往不会起作用。
这是因为许多攻击都是由“内部人士”实施的,他们已经获得了参加会议的授权。
“我们的调查结果表明,绝大多数要求进行缩放轰炸的人并不是在收到会议邀请时绊倒的攻击者,也不是粗暴地强迫他们出示会议证件的人,而是有合法机会参加这些会议的内部人士,特别是高中和大学班级的学生,”题为zoombomb的第一眼."
这篇论文认为,针对此类内部攻击的“唯一有效防御”是“为每个参与者创建独特的连接链接”。
2021年1月29日:该市试图取缔zoom轰炸
阿拉斯加州朱诺市在市议会会议期间遭遇缩放炸弹的流行,该市正在探索取缔这种做法的方法。
据广播电台网站报道,市检察官罗伯·帕尔默说:“我们在议会层面上举行了一些会议,在联合校董事会层面上举行了一些会议,在委员会会议上也举行了一些会议。KTOO.
阿拉斯加首都的警察很难追踪Zoom炸弹袭击者。该市希望,通过将这种做法定为非法,可以迫使Zoom交出识别数字流氓的信息。
12月21日:Zoom高管被控为中国间谍
在一份令人震惊的声明中美国司法部据说它已发出逮捕令前ZOOM执行金新疆,亦称朱先江金,距离最近曾担任ZOOM和中国政府之间的联络人。
美国指导了利用他的职位来破坏和终止大学的Zoom用户纪念1989年天安门广场大屠杀周年纪念的缩放会议,并向中国政府提供有关Zoom用户和缩放会议的信息。晋被认为是居住在中国。
据称,金立群得到匿名同谋者的帮助,他们以已知的中国异见人士的名义创建了虚假的电子邮件账户和Zoom账户,“伪造证据,证明**纪念会议的主办方和参与者支持恐怖组织,煽动暴力或传播儿童色情。”
法务部表示,中国政府利用陈某提供的信息,对中国境内的Zoom用户或境外的Zoom用户的中国居民家属进行了报复。
司法部的公告和逮捕证只提到了一个不愿透露姓名的“1号公司”,即金的雇主,但在一篇博客文章中,极速承认是公司干的在2020年6月收到美国政府的传票后,该公司一直在进行自己的调查。
该帖子进一步解释说,Jin是在2019年10月被Zoom聘用的,这是与中国政府达成的协议的一部分,后者在2019年9月“在没有警告的情况下关闭了我们在中国的服务。”
让Zoom在中国重新启动的代价是雇佣“一名负责执法请求的内部联系人”——即Jin——并将中国用户的数据转移到中国的服务器上。2019年11月,中国恢复了Zoom服务,一年后,司法部发布了对Jin的逮捕令。
Zoom表示:“我们在调查过程中了解到,这名前雇员违反了Zoom的政策,包括试图绕过某些内部访问控制。”“我们已经终止了这个人的雇佣。”
Zoom承认,金立群“与中国当局分享或指示分享了有限数量的个人用户数据”,“少于10个……非中国用户”也被提供给中国。
12月7日:缩放网络钓鱼诈骗
的更好的商业局据报道,该网站警告Zoom用户,骗子正试图通过网络钓鱼电子邮件和短信窃取他们的用户名和密码Threatpost.
这些信息会告诉你“你的Zoom账户已被暂停”或“你错过了一个会议”,并提供一个有用的链接,让你重新登录。但不要上当,登录页面实际上是一个陷阱,目的是获取你的Zoom用户凭证,骗子可以利用这些凭证,甚至窃取你的Zoom账户。
11月16日:放大终于破坏了缩放轰炸
Zoom最大的问题之一是“Zoom爆炸”,即不请自来的参与者闯入Zoom会议,扰乱会议。上周末,缩放发布了两个新功能为了解决这一问题。
一种是“暂停参与者活动”,它允许会议主持人暂停会议,排除干扰参与者,然后继续会议。另一个,“参与者报告”,扩展到会议参与者报告干扰参与者的能力,这是一种以前只提供给会议主持人的补救措施。
11月10日:FTC说放大欺骗了安全性
联邦贸易委员会宣布Zoom“误导用户”,“参与了一系列欺诈和不公平的行为”关于其自身的安全性,FTC引用了3月和3月发现的伪造端到端加密Zoom未经授权就安装在mac电脑上的软件2018年和2019年。
Zoom必须同意每年进行一次内部安全审查和每隔一年进行一次外部安全审查,并且必须实施漏洞管理计划。另一个规定是Zoom为客户提供多因素认证,它已经实现了。
11月6日:缩放按键监视
德克萨斯州和俄克拉荷马州的研究人员发现了这一点在Zoom通话时,可以知道某人在输入什么只是看着他们的肩膀和武器。
通过计算机,研究小组能够在75%的时间内识别出人们的密码,这取决于摄像机的分辨率以及受试者是穿着袖子衬衫还是留着长头发。
研究人员说,任何类型的视频会议平台都可以用于此目的,YouTube视频或Twitch等流媒体平台也可以用于此目的。
10月27日
Zoom的端到端加密功能终于上线了,不过在iOS系统上还需要等待苹果的批准。我们有指示如何启用缩放的端到端加密.
10月15日
在很长一段时间没有关于Zoom的消息后,该公司宣布,它几个月来一直在研究的端到端加密技术将会实现很快就可以进行beta测试了.
用户必须在10月的第三周等待缩放客户端软件更新。会议主机将决定是否使缩放会议结束于结束加密。这些会议不会为试图通过Web浏览器界面或通过电话加入的用户工作(现在)。
七月三十一日
如果你还记得,在2020年4月的几天里,Zoom的网页界面宕机了,现在我们知道原因了:该公司正在修复一个非常严重的安全漏洞,任何人都可能参加Zoom的私人会议。
英国安全研究员汤姆安东尼本周,他在自己的博客上详细描述了自己是如何发现自己可以对Zoom分配给私人会议的6位数pin码进行无休止的随机猜测的。这是一百万种可能,这可能对人来说是困难的,但对一个运行多线程的性能良好的PC来说并不困难。
安东尼发现他能在大约半小时内闯入极速的会议。这离很多会议结束还远着呢。
这个缺陷已经修复了,所以你不用担心极速的轰炸。
地位:固定的。
7月10日
一位不愿透露姓名的安全研究人员发现这是Windows的Zoom会议客户端软件的一个关键缺陷黑客可以远程控制任何运行Windows 7或更早版本的电脑。在该漏洞被公开后不久,Zoom就通过软件更新修复了该漏洞。
地位:固定的。
6月17日:Zoom向批评者妥协,将为所有人提供端到端加密
在隐私倡导者的持续批评后,Zoom做出了让步,宣布6月17日发表的一篇博客文章它即将推出的端到端加密(E2E)将不再只面向付费用户。数百万在学校、社交和工作中免费使用Zoom的人也将获得端到端加密。
“我们已经确定了一条前进的道路,以平衡所有用户的合法权利以及我们平台上用户的安全性,”Eric S.元写道。“这将使我们能够为全球所有用户提供E2EE作为高级附加功能 - 免费和付费 - 在我们的平台上保持防止和争夺滥用的能力。”
但如果你是一个想要端到端加密的免费用户,你首先必须通过一次性密码或类似的服务来验证你的身份。这将使“变焦炸弹”会议更难进行。
e2e加密将保持一个可选的功能,袁提醒,因为它激活时,没有人可以通过电话加入会议或某些办公室电话会议设备。它会达到会议宿主是否激活E2E。
六月十二日
Zoom在美国因言论自由和审查制度而陷入困境,在中国政府的要求下,它暂停了三名中国异见人士的账户他们正在主持纪念6月4日**纪念日的公开会议。
该公司为去年的行为道歉6月11日的一篇博客文章并表示将开发一种方法,在不完全关闭会议的情况下,将某些地点(如中国)的与会者拒之门外。
这还不足以让十多名美国国会议员和两党参议员感到满意,他们写信给祖姆在中国出生的首席执行长袁志远(Eric S. Yuan),要求了解祖姆与北京政府的关系有多亲密。
6月4日:思科Talos揭示了Zoom的两个严重缺陷
塔洛斯6月3日,思科(Cisco)旗下的一家信息安全研究公司披露,它在Zoom客户端应用程序中发现了两个严重的缺陷,这两个缺陷现在都已得到修补。
的第一个缺陷将让攻击者使用专门创建的动画GIF放置在缩放会议聊天中,以防其他人的机器上的Hack Zoom Client软件,以强制安装恶意软件,或者作为Talos放置它,“达到任意代码执行”。
的第二个缺陷还涉及Zoom会议客户端软件中的聊天功能,同样存在严重的潜在后果。问题是Zoom没有验证共享压缩文件(如.zip文件)的内容。
攻击者可能通过Zoom meeting chat以压缩文件的形式向用户发送恶意软件,用户的Zoom客户端可能已在Zoom应用程序的目录中保存并打开该恶意软件。
更糟糕的是,如果用户将Zoom压缩文件保存在电脑的其他地方,比如桌面,那么被攻击者可能会发送第一个同名文件的修改版本。
缩放将自动打开第二个版本(但不是第一个),允许恶意软件到“几乎任意路径的工厂二进制文件,并且可能覆盖重要文件并导致任意代码执行。”
地位:固定的。
周一,6月1日
Zoom即将推出的端到端加密主要面向付费用户,正如Zoom在5月7日声明的那样。但为Zoom提供安全问题咨询的知名信息安全专家亚历克斯·斯塔莫斯(Alex Stamos)表示路透上周,学校和其他非营利性企业可能还能够为其账户获得最终的加密。
Stamos对路透表示:" CEO正在考虑不同的理由。"“目前的计划是付费客户加上公司知道他们是谁的企业账户。”
5月27日
放大房间的所有管理员都需要更新他们的软件Zoom在5月26日的一篇博客文章中说。
Zoom 5.0的升级将提供“更大的安全和隐私主机控制,”Zoom说,但也“满足5.0或更高版本的GCM加密的最低要求,5月30日所有会议都将启用和要求GCM加密。”
有关更新Zoom Rooms的更多信息请点击在这里.Zoom客户端软件的5.0更新已于4月底向Windows、Mac、Android、iOS、Chrome OS、Amazon Fire和Linux用户推出。
5月21日
更多的两个实例损坏的缩放安装程序由趋势科技研究人员发现。
第一种是在PC上打开后门;第二组通过截屏、键盘记录和网络摄像头劫持来监视PC的所有者,并将PC拖入魔鬼阴影僵尸网络。
两个安装程序都安装了缩放软件客户端,因此受害者可能是一个更聪明的人。一如既往,从Zoom.us的Zoom网站直接获取您的Zoom软件,或者直接从Web浏览器加入缩放会议。
5月18日
放大了不明原因的故障星期日,5月17日,使得美国和英国的数千用户无法使用,中断始于星期日英国时间,持续了几个小时,影响了两个国家的在线教堂服务。每日冠状病毒简报受到了影响,记者无法通过Zoom提问。
一些用户在Twitter上报告说,注销Zoom账户,然后重新登录,似乎解决了这个问题。
Zoom的状态页面显示,周日早上发生了一次后端更新,但这次更新似乎与几小时后开始的宕机没有任何关联。
的放大状态页当时表示,停电“似乎仅限于一部分用户”,Zoom“正在努力确定问题的根本原因和范围”。几个小时后,问题被宣布“已解决”,没有进一步的细节。
5月12日
据以色列安全公司的研究人员称,在过去几周内,网络犯罪分子可能已经注册了数百个与zoom相关的新网站地址检查.
许多这样的网站被用于网络钓鱼攻击,以获取受害者的Zoom用户名和密码,类似的骗局也利用竞争对手的视频会议平台,如谷歌Meet和Microsoft Teams。
在周末,在线破坏劫持俄克拉荷马城大学的毕业典礼,将缩放视频源替换为种族主义语言和符号。目前还不清楚这是否是常规缩放轰炸的结果,或者攻击者是否使用了不太知名的方法来破坏视频源。
5月8日:Zoom禁止免费用户拨打技术支持电话
Zoom于5月7日宣布由于技术支持人员接到的电话太多,它只能向付费账户的“所有者和管理员”提供个人技术援助。
换句话说,任何用户、免费缩放帐户的所有者或管理员以及付费帐户的最终用户都无权获得人工帮助。相反,他们将不得不依赖网站上的常见问题解答和操作指南列表变焦在线资源页
目前,这项规定仅适用于2020年5月和6月。如果冠状病毒封锁持续时间超过这一时间,Zoom可能需要雇佣更多的技术支持人员。
5月7日:Zoom承诺与纽约司法部长达成协议,加强安全
纽约州总检察长莉蒂夏·詹姆斯办公室和极速达成了协议5月7日,在对Zoom的安全和隐私做法进行调查之后。
协议中没有太多新内容。NYAG对Zoom的大部分投诉都涉及到您正在阅读的这个故事中讨论的问题。Zoom同意的大部分规定都是该公司已经在做的事情,包括强制使用密码和使用更好的加密。
从长远来看,缩放必须进行正常的准则审查和进行年度渗透测试练习,其中付费黑客试图突破公司的防御。
只有两种新事物会直接影响消费者。Zoom必须通过防止自动的密码填充攻击(例如在登录页面添加验证码)来加强密码安全性,并必须自动重置被泄露的密码。
它还必须更新其可接受的使用政策,以禁止“虐待行为,包括基于种族、宗教、族裔、民族血统、性别或性取向对他人的仇恨。”
坦率地说,这是许多其他在线公司长期以来的标准政策,所以我们有点惊讶,它们不是Zoom政策。
5月7日
缩放是收购了纽约小型初创公司Keybase在竞标中快速实现真实的终端加密进行缩放会议,Zoom首席执行官Eric S. Yuan宣布.收购价格或交易的其他条款没有披露。
Keybase制作了用户友好的软件,可以轻松安全地加密消息和社交媒体帖子。
3月份,缩放必须承认其吹捧的“端到端”加密不是真实的,因为缩放自己的服务器总是能够访问会议的内容。一旦合并了Keybase的技术,那将不再是这种情况。
5月6日
从5月9日开始,所有Zoom会议(免费或付费)默认情况下都需要会议密码和等候室,变焦宣布.默认情况下,只有主机才能共享屏幕,但与其他设置一样,这是可以更改的。
5月5日:Zoom CEO元涉及安全,国籍问题
在一个公司博文Zoom首席执行官Eric S. Yuan表示,自冠状病毒封锁开始以来,Zoom使用量的大幅增加是“具有挑战性的”,但也“为我们提供了推动有意义的改变和改善的机会”。
袁承认,“我们没有为我们的新客户,特别是学校,设置预先配置的安全功能”,指的是会议密码和等候室。“相反,我们认为他们会理解我们的平台,就像我们的商业客户理解我们的平台并自行定制这些功能一样。”
这导致了“不请自来的、无礼的、有时甚至是真正邪恶的人扰乱会议,”袁亚非写道。(这样一个人扰乱了极速关于性暴力的会议上周在旧金山湾区。)
袁隆平还谈到了有关他和祖姆与中国关系的传言。他说,他自1997年以来一直住在美国,2007年成为美国公民,Zoom是一家完全美国的公司。
与许多跨国科技公司类似,Zoom在中国设有业务和员工. ...由美国母公司的子公司运营,”袁写道。“我们在中国的业务与美国同行本质上相似,美国同行也在那里运营并拥有员工。”
“我们有1(一)在中国的共同定位的数据中心[那是一家领先的澳大利亚公司经营,是Geofenced,”人民币补充道。“它主要是为了满足我们在中国的运营或客户的财富500强客户,并希望使用我们的平台与他们联系。”
5月4日
在伦敦伦敦报纸上抓住内部缩放会议后,伦敦金融时代的记者辞职。
马克•迪斯蒂法诺他在推特上宣布辞职后独立记录了迪·斯特凡诺上周参加了一个关于减薪和休假的独立员工会议,先是以自己的名义,然后是匿名的。
此后不久,英国《金融时报》刊登了迪•斯特凡诺(Di Stefano)撰写的一篇关于《独立报》裁员的报道。《独立报》称,迪斯蒂法诺援引他的消息来源为“电话里的人”。
《独立报》还发现,迪斯蒂法诺的手机早些时候曾被用于访问伦敦另一家报纸《标准晚报》的Zoom会议。会议之后,英国《金融时报》发表了一篇关于《标准晚报》休假和减薪的文章。
5月1日
Zoom不是唯一一个隐私政策有问题的视频会议平台,《消费者报告》在博客文章中表示:Cisco WebEx,微软的团队和Skype,以及谷歌的二人组,会面和环聊也是如此。
《消费者报告》称:“这三家公司都能在你参加视频会议时收集数据,并将其与数据经纪人和其他来源的信息结合起来,建立消费者档案,还可能将视频用于培训面部识别系统等目的。”
《消费者报告》表示,您应该知道视频会议中的所有内容都可能被录制,要么是由主持人录制的,要么是其他与会者录制的。
它还建议通过电话拨入视频会议,如果可能的话,不要使用服务创建帐户,否则使用“燃烧器”电子邮件地址。
4月30日:Zoom再次说谎
变焦股份周四下跌近9%4月30日,该公司加入纳斯达克100指数。
经过记者的追问边缘在上周的一篇博客文章中,Zoom承认,事实上,它最近的日用户数量并没有达到3亿的峰值。
相反,Zoom的峰值是每天有3亿“参与者”。如果你每天参加一个以上的Zoom会议,那么你每次都被算作一个单独的“参与者”。
Zoom在给The Verge的一份声明中说:“我们无意中把这些参与者称为‘用户’和‘人’。”“这是我们真正的疏忽。”
那么Zoom现在每天有多少用户呢?该公司没有透露。
4月30日:更多嵌入恶意软件的Zoom安装程序
趋势科技的研究人员发现了另一个被恶意软件破坏的Zoom安装文件。
在这种情况下,它是间谍软件,可以打开网络摄像头,截图和记录击键,以及收集有关它运行的系统的诊断数据。它还安装了一个完整的Zoom桌面客户端。
趋势科技团队在一篇博客文章中指出:“由于系统下载了合法的Zoom应用程序版本(4.6),它不会让用户产生怀疑。”“然而,这个系统已经被破坏了。”
运行Zoom不需要在桌面上安装任何软件。但如果你必须,那么只从官方网站https://zoom.us/download.
4月29日:缩放外国黑客目标
据报道,美国国土安全部(Department of Homeland Security)警告美国政府机构和执法机构,Zoom是外国间谍,尤其是中国情报人员的主要目标ABC新闻.
“Zoom在公共和私营部门实体中的突然巨大增长和使用,加上其广为宣传的网络安全问题,创造了一个易受攻击、目标丰富的环境,”国土安全部情报分析声称。“任何目前使用或考虑使用Zoom的组织都应该评估其使用的风险。”
外国间谍将对任何基于互联网的通信媒体感兴趣,这些通信媒体看到这种陡峭的增长增加。但DHS报告称,中国的可能在Zoom Security中的Meddler,因为Zoom在该国拥有大量的员工。
美国广播公司(ABC News)援引国土安全部的报告称:“中国对Zoom服务器的访问,使北京在瞄准美国公共和私营部门用户方面处于独特的地位。”
然而,Zoom在过去一周让付费会议主持人可以选择避开中国和北美等特定地区的Zoom服务器。未支付的Zoom主机将默认只使用其所在地区的服务器。
Zoom Spokesperson告诉ABC的消息,即DHS报告是“严重误导”并包括“公然的不准确性”。
4月28日:Zoom比苹果的FaceTime更安全?
一个Mozilla的最新报告该公司表示,Zoom的隐私和安全政策和做法优于苹果公司(Apple)的FaceTime。
该报告称,Zoom在加密、密码强度、更新、漏洞报告和隐私方面得分为5/5,与Skype、Signal、牛仔裤和谷歌的Duo、Hangouts和Meet的三重奏相匹配。
FaceTime仅获得4.5/5,因为苹果视频通话服务不要求用户独立登录应用程序。
4月28日:Zoom网络钓鱼骗局捕食在家里工作的恐惧
一个新的网络钓鱼诈骗在冠状病毒封锁期间,肯定会引起任何在家工作的人的注意。
它似乎来自您的雇主的人力资源部门,并邀请您在几分钟内开始参加缩放会议,讨论可能的就业终止。
如果你点击电子邮件中的链接加入会议,你就会进入一个非常逼真的Zoom登录页面。这是假的。如果你输入你的凭证,然后骗子可以接管你的Zoom帐户。
4月27日,星期一:Zoom 5.0已经发布
上周,Zoom终于将其会议客户端软件升级到了5.0版本。下面是我们的指南如何更新到Zoom 5.0.
由于苹果在推出新版本应用之前必须对软件进行审查,所以iOS系统目前还无法使用该更新。在美国东部时间周一下午(4月27日),我们还无法在谷歌Play应用商店中看到它,但很有可能很快就会出现。
4月24日
变焦公司股票周五再次上升在纳斯达克证券交易所宣布之后Zoom将加入纳斯达克100指数周四,4月30日。
在冠状病毒危机期间,没有任何一家公司从“居家令”中受益更多。如果Zoom的日流量没有从2019年12月的1000万用户激增到4月中旬的3亿用户,很难想象它会加入纳斯达克100指数。
4月23日
尽管极速有那么多坏消息,该公司的股票价格猛涨周四上涨9%公告称,每日用户数量已上升至3亿.
换个角度来看,3月份的日使用量达到了2亿人的峰值,该公司在4月1日表示.2019年12月,Zoom的日用户达到1000万的峰值。
4月22日:Zoom 5.0发布
在一个有些误导性的新闻公告/博客文章Zoom宣布将推出Windows、Mac和Linux操作系统的5.0版桌面软件。
新版本将包括许多我们最近看到的Zoom web界面的安全修复,包括将Zoom轰炸机从会议中踢出去的能力,确保会议数据不会经过中国,并让所有人在“等候室”等待会议。它还在主机屏幕上添加了一个安全图标,并对Zoom会议进行了更好的加密。
我们检查变焦日志发现这个更新要到4月26日星期天才能发布。
4月22日:使用假Zoom客户端软件进行信息抓取
思科Talos的研究人员表示,Zoom的会议聊天功能让外部人士很容易就能找到某个组织的所有Zoom用户。
如果您有一个有效的Zoom帐户,Cisco Talos在博客中解释道,您可以假装您在任何组织工作,并获取每个已注册的Zoom用户的全名和聊天ID,其电子邮件地址用于该组织的电子邮件域。
您不必验证您是否在那里工作,甚至不需要参加Zoom会议来获取信息。
思科塔洛斯写道,这些信息“可能被用来披露进一步的联系信息,包括用户的电子邮件地址、电话号码和vCard(即数字名片)中的任何其他信息”。
“思科塔洛斯邮政表示,这种脆弱性可能会因对具有组织的已知个人而对众所周知的人进行针对针对已知个人而被利用,以便转储组织内所有Zoom用户的电子邮件地址。”“最近必须安装新软件以设置遥控工作的用户可能特别容易受到声称指示用户安装新的或更新的特洛伊木马的”缩放客户端“的社会工程电子邮件。”
幸运的是,Zoom已经解决了这个问题,这完全是在服务器端。
地位:固定的。
星期二,4月21日
在一个博文4月20日,Zoom表示,从呼叫路由中排除某些国家的选择现在居住。这将让缩放会议管理员避免在中国,美国或七个地区和国家的Zoom服务器进行会议数据。
新更新到Zoom平台4月19日推出的网络界面包括在会议期间屏蔽与会者的一些个人信息,如电子邮件地址或电话号码。另一个变化是,共享同一个电子邮件域的用户将不再能够通过名字搜索对方。
星期一,4月20日
的纽约时报报道称,Dropbox高管非常担心Zoom的安全漏洞,因此在2018年,Dropbox创建了自己的秘密漏洞悬赏程序。
换句话说,Dropbox会为在Zoom中发现的安全漏洞向黑客支付费用。(Dropbox的员工经常使用Zoom, Dropbox也是Zoom的投资者之一。)据《纽约时报》报道,Dropbox将确认这些漏洞,然后将它们交给Zoom,让Zoom来修复它们。
星期五,4月17日
Zoom会议录音很容易在网上找到,第2部分
一位安全研究员们讲述,缩放会议可轻松发现并经常查看播放的云服务器上的视频录制Cnet.
菲尔Guimond注意到,缩放会议的在线录制具有可预测的URL结构,因此很容易找到。(华盛顿邮政上周报告的关于类似问题的缩放记录已被用户上传到第三方云服务器。在这些情况下,会议记录的文件名遵循可预测的模式。)
直到Zoom发布了一系列更新上周二,Zoom的会议录音不需要密码保护。
圭蒙德构建了一个简单的工具,可以自动搜索Zoom会议记录,并试图打开它们。
如果一个会议有密码,他的工具会试图通过运行数百万个可能的密码来强制访问。如果会议记录是可见的,那么Zoom会议ID也是可见的,攻击者可能能够访问未来的重复会议。
要击败Guimond的自动化工具,Zoom增加了一个CAPTCHA挑战,这迫使遗嘱是会议记录观察者证明他们是人类的。但是,Guimond表示,URL模式仍然是相同的,攻击者仍然可以尝试手动打开每个生成的结果。
地位:减少了额外的攻击障碍,但不是真的固定。
周四,4月16日
Zoom宣布要雇佣卢塔安全公司这家咨询公司由凯蒂·穆苏里斯(Katie Moussouris)领导,旨在改进Zoom的“漏洞赏金”(bug bounty)项目,该项目向发现软件缺陷的黑客支付报酬。
穆萨里斯在微软和五角大楼建立了第一个漏洞赏金程序。在她自己的博客文章,她宣布Zoom将引入其他知名信息安全公司和研究人员来提高其安全性。
在每周的网络研讨会上,根据ZDNet新聘请的安全顾问亚历克斯·斯塔莫斯(Alex Stamos)表示,在发现Zoom现有的加密系统存在缺陷后,Zoom将改用更强大的加密标准。
在其他新闻中,国会议员抱怨了4月3日举行的国会简报会被“放大炸弹”炸毁。至少三次。
星期三,4月15日
总部位于伦敦的跨国银行渣打银行(Standard Chartered)的负责人警告员工,出于安全考虑,不要使用Zoom或谷歌Hangouts进行远程会议路透.
据两名不愿透露姓名的银行工作人员透露,渣打银行主要使用竞争对手Blue Jeans视频会议平台。
去年,渣打银行同意了支付给英美监管机构11亿美元此前该行承认违反了对伊朗的贸易制裁。
变焦零日利用出售50万美元
黑客们显然愿意向出价最高的竞拍者出售Zoom中的两个“零日”漏洞,副报告。
零日(Zero-days)指利用软件制造商不知道的漏洞进行攻击的黑客行为,而用户对这些漏洞几乎或根本没有防御措施。
向Vice透露零日漏洞的消息人士称,其中一个漏洞是针对Windows的,可以让远程攻击者完全控制目标电脑。关键在于,攻击者和目标必须同时与极速通话。它的要价是50万美元。
一位不愿透露姓名的消息人士告诉Vice:“我认为,希望大爆炸的只是孩子们。”。
另一个零日据说是针对macOS的,没有那么严重。
地位:显然是不固定的。
星期二,4月14日
变焦宣布4月13日,付费Zoom账户的用户将能够选择他们的数据将通过世界哪个地区传送:澳大利亚、加拿大、中国、欧洲、印度、日本/香港、拉丁美洲或美国。
这是对4月初发现许多由美国居民主持并涉及美国居民的Zoom会议通过中国服务器进行路由的反应。中国保留在国内服务器上查看任何事件的权利,无需授权。
Zoom的免费服务的用户将仅由其地区的服务器处理其数据。
地位:此选项现在可用于使用Web界面而不是桌面软件的付费缩放用户。Windows,Mac和Linux的Zoom Desktop软件将获得该4月26日。
打开/未解决的问题
超过50万的Zoom账户被公开拍卖
的用户名和密码超过500,000个缩放帐户在犯罪市场出售或赠送。
这些账户不是由于Zoom数据泄露,而是由于伪造凭证。这是指犯罪分子试图通过重复使用之前数据泄露中被盗账户的凭证来解锁账户。只有当一个帐户持有人对多个帐户使用相同的密码时,它才能工作。
地位:未知,但这不是Zoom的错。
网上找到2300套Zoom登录凭据
IngSights的研究人员发现,一组2300个Zoom登录证书被分享在一个犯罪在线论坛上。
“除了个人账户,还有很多属于银行、咨询公司、教育机构、医疗保健提供商和软件供应商等的企业账户。Etay Maor4月10日在一篇博客文章中写道。
Maor写道:“虽然有些账户‘只’包含电子邮件和密码,但其他账户包括会议id、姓名和主机密钥。”
Maor告诉Threatpost鉴于这些凭证的数量相对较少,它们似乎并非来自Zoom数据泄露。他推测这些数据来自“其他公司/机构保存的小名单和数据库”
也有可能有些凭证是“凭证填塞”的结果。这是一个(很大程度上)自动化的过程,罪犯试图通过循环使用可能的电子邮件地址和密码登录网站,然后获取任何有积极结果的信息。
地位:未知的。这可能不是Zoom本身的问题。
Zoom“零日”漏洞
信息安全研究人员知道几个Zoom“零日”漏洞据Vice报道。零日(zero -days)指的是利用软件漏洞,软件制造商不知道也没有修复这些漏洞,因此在漏洞出现之前没有“零日”的准备时间。
然而,Vice的一名消息人士暗示,其他视频会议解决方案也存在安全漏洞。另一位消息人士表示,由于需求不足,Zoom zero-days的售价并不高。
地位:直到其中一些缺陷暴露出来。
缩放灌输帐户在线交易
犯罪分子在“暗网上”的缩放帐户是交易损害账户雅虎新闻报道。
这些信息显然来自以色列网络安全公司Sixgill,专门监测地下在线犯罪活动。我们无法找到任何提及的调查结果灰六鳃网站.
Sixgill告诉雅虎,他们发现了352个被入侵的Zoom账户,包括会议id、电子邮件地址、密码和主机密钥。有些账户属于学校,每个账户都属于一家小企业和一家大型医疗服务提供商,但大多数都是私人账户。
地位:不是一个bug,但绝对值得担心。如果你有一个Zoom账户,确保它的密码与你其他账户的密码不一样。
放大安装程序与恶意软件捆绑
研究人员趋势科技发现了一个与Zoom安装程序捆绑的版本cryptocurrency-mining恶意软件,即硬币矿工。
缩放安装程序将在Windows PC上放大缩放版本4.4.0.0,但它配备了趋势科技奖励的Coin-Miner给出了Cashy名称Trojan.win32.mooz.thccabo。(顺便说一下,Windows的最新缩放客户端软件最多可到4.6.9版,您应该只能从中获得它在这里.)
硬币挖矿机将提高你的PC的中央处理器单元和它的图形卡(如果有的话),以解决数学问题,以产生新的单位cryptocurrency.如果你的风扇突然加速,或者Windows任务管理器(按Ctrl + Shift + Esc)显示出意外的CPU/GPU使用过多,你会注意到这一点。
为了避免被恶意软件攻击,确保你在运行一个最好的防病毒不要点击电子邮件、社交媒体帖子或弹出信息中的任何链接,这些链接承诺会在你的电脑上安装Zoom。
地位:打开,但这不是缩放的解决问题。它无法阻止其他人复制和重新分发其安装软件。
变焦加密不是它声称的那样
Zoom不仅误导了用户关于其“端到端加密”(见下文)的看法,而且似乎完全没有透露其加密算法的质量。
Zoom表示,它使用AES-256加密技术对在Zoom服务器和Zoom客户端(也就是你和我)之间传输的视频和音频数据进行编码。但是研究人员公民实验室多伦多大学的研究人员在4月3日发布的一份报告中发现,Zoom实际上使用了较弱的AES-128算法。
更糟糕的是,Zoom使用了一种内部加密算法来保存原始文件中的模式。这就好像有人在灰色的墙上画了一个红色的圆圈,然后一个审查员在这个红色的圆圈上画了一个小圆圈。你看不到原始信息,但形状还在那里。
“我们不鼓励在需要高度隐私和机密性的用例中使用Zoom,”公民实验室的报告称,“政府担心间谍活动,企业担心网络犯罪和工业间谍活动,医疗保健提供商处理敏感患者信息”,以及“从事敏感话题的活动人士、律师和记者”。
地位:没有解决。在4月3日的一篇博客文章中,缩放首席执行官Eric S.元承认加密问题,但只表示“我们认识到我们可以在加密设计上做得更好”,“我们希望在未来几天在这方面有更多的分享。”
在Zoom的即将到来的4月26日桌面软件更新中,Zoom表示将是升级加密实现为5月30日为所有用户提供更好的格式。
缩放软件很容易被破坏
好的软件具有内置的防篡改机制,以确保应用程序不会运行被第三方修改的代码。
缩放具有这样的防篡改机制,是好的。但是那些称自己的英国电脑学生表示,那些反篡改机制本身并不免除篡改。劳埃德在4月3日的一篇博文中。
不用说,这很糟糕。Lloyd展示了Zoom的反篡改机制是如何被轻易禁用的,甚至可以被劫持应用程序的恶意版本所取代。
如果你在阅读这篇文章时对Windows软件的工作原理有一定的了解,那么这是一段相当糟糕的文章:“这个DLL可以轻易地卸载,使反篡改机制无效。DLL不是固定的,这意味着来自第三方进程的攻击者可以简单地注入远程线程。”
换句话说,电脑上已经存在的恶意软件可以使用Zoom自己的反篡改机制来篡改Zoom。犯罪分子还可以创建一个完整的Zoom版本,经过修改后可以执行恶意行为。
地位:没有解决。
放大轰炸
任何人都可以“轰炸”Zoom公开会议如果他们知道会议号码,然后使用文件共享照片发布令人震惊的图像,或在音频中发出恼人的声音。这个联邦调查局甚至对此发出了警告几天前。
Zoom会议的主持人可以屏蔽甚至赶走捣乱者,但他们可以使用新的用户id回来。避免Zoom爆炸的最好方法是,除了预定的参与者之外,不要与任何人分享Zoom会议号码。您也可以要求与会者使用密码登录会议。
4月3日,美国密歇根州东区检察官办公室表示,“任何侵入电话会议的人都可能被以州或联邦罪名起诉。”目前还不清楚这是否只适用于密歇根州东部。
地位:有很简单的方法可以避免极速爆炸,这是我们要讲的在这里.
电子邮件地址和个人资料照片泄露
缩放自动将每个人分享相同的电子邮件域中的“公司”文件夹,在那里他们可以看到彼此的信息。
使用大型网络邮件客户端(如Gmail、Yahoo、Hotmail或Outlook.com)的用户除外,但Zoom可能不知道的小型网络邮件提供商除外。
几位使用ISP提供的电子邮件地址的荷兰Zoom用户突然发现他们和几十个陌生人在一个“公司”里——可以看到他们的电子邮件地址、用户名和用户照片。
地位:未解决的,但4月19日的Zoom软件更新Zoom web界面的用户可以确保同一电子邮件域的用户不再自动通过名字搜索对方。Zoom桌面客户端软件将在4月26日得到类似的修复。
与广告商共享个人数据
一些供职于《消费者报告》(Consumer Reports)的隐私专家仔细研究了Zoom的隐私政策,发现它显然是让Zoom有权使用Zoom用户的个人数据并与第三方营销人员分享。
后《消费者报告》博客文章,缩放快速重写其隐私政策,剥离最令人不安的通道并断言“我们不销售您的个人数据”。
地位:未知的。我们不知道Zoom与第三方广告商的业务往来细节。
你可以“战争驱动”找到开放的Zoom会议
你可以找到开放的Zoom会议通过快速循环可能的Zoom会议id,一位安全研究员告诉独立安全博主布莱恩·克雷布斯。
这名研究人员通过Tor进行查询,通过了Zoom的会议扫描屏蔽程序,该程序随机分配了他的IP地址。这是“战时驾驶”的一种变体,即在拨号时代随机拨打电话号码来寻找开放的调制解调器。
研究人员告诉Krebs,他可以找到大约100个开放的缩放会议,每小时使用该工具,并且“在[Zoom]会议上启用密码是唯一击败它的密码。”
地位:未知的。
Zoom会议聊天不会保持隐私
两个推特用户指出,如果您在会议的聊天应用程序中使用私人窗口以在会议中与另一个人私下进行通信,则会在主机收到的会议结束转录程序中可见。
地位:未知的。
已解决/固定问题
缩放漏洞允许帐户劫持
一个库尔德人的安全研究员他说,Zoom向他支付了漏洞赏金——发现严重漏洞的奖励——奖励他在知道或猜出账户持有人的电子邮件地址的情况下,找到了如何劫持账户的方法。
这名自称“s3c”,但真名可能是尤素福·阿卜杜拉(Yusuf Abdulla)的研究人员表示,如果他试图用Facebook账户登录Zoom, Zoom会要求他提供与该Facebook账户相关的电子邮件地址。然后Zoom会打开一个新网页,通知他有一封确认邮件已经发送到了那个邮箱地址。
通知网页的URL将在地址栏中有一个唯一的标识标签。举个比实际内容短得多的例子,比如“zoom.com/signup/123456XYZ”。
当s3c收到并打开Zoom发送的确认邮件时,他点击邮件正文中的确认按钮。这把他带到另一个网页,确认他的电子邮件地址现在与一个新帐户关联。到目前为止,一切顺利。
但是,S3C注意到缩放确认网页的URL中的唯一标识标签与第一个ID标签相同。让我们使用“zoom.com/confirmation/123456xyz”的示例。
一个在确认前,一个在确认后,匹配的ID标签意味着s3c可以避免收到确认邮件,也可以避免点击确认按钮。
事实上,他可以在最初的注册表格中输入任何电子邮件地址——你的、我的或billgates@gmail.com。然后,他可以从最终的Zoom通知页面复制ID标签,并将ID标签粘贴到已经存在的Zoom账户确认页面。
砰的一声,他可以访问使用目标电子邮件地址创建的任何Zoom帐户。
“即使您已将您的帐户与Facebook帐户缩放已自动取消链接并将其与攻击者Facebook帐户链接联系,”S3C以他的不完善的英语写道。
而且因为Zoom允许任何使用公司电子邮件地址的人查看使用相同电子邮件域名注册的所有其他用户。“company.com”,s3c可以利用这种方法窃取某公司的所有Zoom账户。
“所以如果攻击者创建一个帐户的电子邮件地址attacker@companyname.com和验证这个bug,“s3c写道,“攻击者可以查看所有邮件,用* @companyname.com缩放应用程序中创建公司联系人这意味着攻击者可以破解所有账户的公司。”
Zoom很幸运,s3c是一个好人,在Zoom修复它之前没有公开披露这个缺陷。但这是一个如此简单的缺陷,很难想象之前没有人注意到它。
地位:修好了,感谢上帝。
Zoom从屏幕上删除会议id
Zoom已经发布了它的更新窗户,马科斯和Linux桌面客户端软件,以便在会议期间不会显示屏幕上的会议ID。英国总理鲍里斯约翰逊在推文中不小心展示了缩放会议ID,比利时柜犯了类似的错误。
Zoom文件共享存在“潜在安全漏洞”
在四月初的一次“问我什么”网络研讨会上,Zoom首席执行官埃里克·s .元称Zoom发现了“文件共享的潜在安全漏洞,所以我们禁用了该功能。”
直到本周,参与者中的参与者可以使用会议的聊天功能相互共享文件。
地位:固定的。
缩放中文服务器发布的加密密钥
通过Zoom服务器发出这些AES128加密密钥,缩放客户端,这一切都很好,除了公民实验室发现中国有几台Zoom服务器向Zoom用户发放密钥,即使会议的所有参与者都在北美。
由于缩放服务器可以解密放大会议,而中国当局可以强迫中国服务器的运营商来交出数据,因此含义是中国政府可能能够看到您的缩放会议。
这对英国政府来说肯定是个坏消息,因为英国政府已经就Zoom召开了至少一次内阁会议。
地位:显然已修复。在4月3日的一篇博文中,缩放首席执行官Eric S.元在回应公民实验室的报告时,他说,“某些会议可能被允许连接到中国的系统,而这些系统本不应该连接到中国。”我们已经纠正了这一点。”
Zoom会议等候室存在安全漏洞
Zoom建议会议主持人设置“等候室”,以避免“Zoom爆炸”。在等候室里,参与者会一直等待,直到主人让他们进来,或者是同时让所有人进来,或者一次让一个人进来。
公民实验室说它发现了Zoom等候室存在严重的安全问题,并建议主持人和参与者暂时不要使用。公民实验室还没有透露细节,但已经告诉Zoom该漏洞。
公民实验室在报告中说:“我们建议希望保密的Zoom用户不要使用Zoom等候室。”“相反,我们鼓励用户使用Zoom的密码功能。”
地位:固定的。在他们最初报告的后续报道.公民实验室的研究人员透露,未被邀请参加会议的人仍然可以从等候室获得会议的加密密钥。
“4月7日,Zoom向我们报告说,他们已经实施了一个问题的服务器,”研究人员说。
Windows密码窃取
缩放会议有侧面聊天,其中参与者可以发送基于文本的消息和发布Web链接。
但据一位推特用户说@_g0dmode和英美网络安全培训公司黑客的房子直到3月底,Zoom还没有区分常规网址和另一种远程网络链接,即“统一命名公约”(UNC)路径。这使得缩放聊天容易受到攻击.
如果一个恶意的Zoom轰炸机将UNC路径滑到他控制的远程服务器,进入Zoom会议聊天,一个不知情的参与者可能会点击它。
然后,参与者的Windows电脑将尝试连接到路径中指定的黑客远程服务器,并自动尝试使用该用户的Windows用户名和密码登录到该服务器。
黑客可以捕获密码“散列”并解密,从而访问Zoom用户的Windows帐户。
地位:袁的博文说Zoom现在已经解决了这个问题。
Windows恶意软件注入
默罕默德·a . Baset安全公司Seekurity在Twitter上表示,同样的FilePath缺陷也会让黑客插入远程可执行文件的UNC路径到ZOOM会议聊天室。
Baset发布的一段视频显示,如果运行Windows操作系统的Zoom用户点击它,该用户的电脑就会试图加载并运行该软件。受害者将被提示授权软件运行,这将阻止一些黑客企图,但不是全部。
地位:如果UNC文件路径问题被修复,那么这个问题也应该被修复。
iOS个人资料共享
在3月底之前,缩放向Facebook发送了IOS用户配置文件作为iPhone和iPad Zoom应用程序“登录Facebook”功能的一部分。在Vice News曝光了这一行为后,Zoom表示并不知道这种个人资料分享行为,并更新了iOS应用程序来解决这一问题。
地位:固定的。
mac上类似恶意软件的行为
我们去年夏天了解到Zoom使用类似黑客的方法来绕过正常的macOS安全防范措施.我们认为这个问题和它造成的安全漏洞已经被修复了。
但是,一系列推文3月30日从安全研究员Felix Seele中,他注意到Zoom在没有通常的用户授权的情况下在他的Mac上安装了自身,透露仍然存在一个问题。
有没有想过在没有点击安装的情况下@zoom_us macOS安装程序是如何工作的?事实证明,他们(ab)使用预安装脚本,使用捆绑的7zip手动解包应用程序,并安装到/Applications,如果当前用户在admin组(不需要root)。pic.twitter.com/qgQ1XdU11M2020年3月30日
Seele写道:“他们(ab)使用预安装脚本,使用捆绑的7zip手动解包应用程序,并将其安装到/Applications,如果当前用户在管理员组(不需要root)。”
该应用程序是在未经用户最终同意的情况下安装的,并使用一个极具误导性的提示来获得root权限。与macOS恶意软件使用的伎俩相同。”(Seele在一篇更人性化的博客文章中详细阐述了这一点在这里.)
Zoom创始人兼首席执行官埃里克·s .元他在推特上做出了友好的回应。
袁写道:“用Mac加入会议并不容易,这就是Zoom和其他人使用这种方法的原因。”“我很理解你的观点,我们会继续改进。”
更新:在4月2日的一条新推文中,Seele说Zoom已经发布了一个针对macOS的新版Zoom客户端,“完全删除了有问题的‘预安装’技术和虚假的密码提示。”
“我必须说我印象深刻。这是一个迅速而全面的反应。干得好,@zoom__-us!”Seele补充道。
缩放刚刚发布了一个更新的麦斯科斯脚本安装程序,它完全删除了可疑的“preinstall”-technique和伪造的密码提示。我必须说我印象深刻。这是一个迅速和综合反应。好工作,@zoom_us!pic.twitter.com/vau556tyaa.2020年4月2日
地位:固定的。
Mac恶意软件的后门
其他人可以使用Zoom狡猾的Mac安装方法,著名的Mac黑客帕特里克在3月30日的一篇博文中说。
沃德尔演示了本地攻击者——比如一个恶意的人或已经安装的恶意软件——如何利用Zoom以前未经授权安装的魔力来“升级特权”,并在不知道管理员密码的情况下完全控制机器。
沃德尔还指出,安装在Zoom Mac客户端上的恶意脚本可以让任何恶意软件获得Zoom的网络摄像头和麦克风权限,这不会提示用户进行授权,还可能让任何安装了Zoom的Mac电脑变成潜在的间谍设备。
沃德尔写道:“这使得恶意软件能够记录Zoom的所有会议,或者在后台生成Zoom,以便在任意时间访问麦克风和摄像头。”
地位:袁的博客说Zoom已经修复了这些缺陷。
其他问题
Zoom承诺修复缺陷
在4月1日的一篇博客文章中,Zoom首席执行官兼创始人Eric S. Yuan承认Zoom的成长之痛,并承诺将暂停Zoom平台的常规开发,同时公司将致力于解决安全和隐私问题。
袁写道:“我们认识到,我们没有达到社区和我们自己的隐私和安全预期。”他解释说,Zoom是为大型企业开发的,内部的IT员工可以设置和运行该软件。
他说:“我们现在有更广泛的用户群体,他们以各种意想不到的方式使用我们的产品,给我们带来了在构思这个平台时没有预料到的挑战。”“这些新的、以消费者为主体的用例帮助我们发现了平台中不可预见的问题。有奉献精神的记者和安全研究人员也帮助识别已经存在的问题。”
要处理这些问题,人民币写道,缩放将“立即颁布一项功能,并立即冻结,并转移所有的工程资源,以专注于我们最大的信任,安全和隐私问题。”
此外,Zoom还将“与第三方专家和有代表性的用户进行全面审查,以了解并确保我们所有新的消费者使用案例的安全性。”
现在,大多数Zoom会议都需要默认密码,不过会议主持人可以关闭这一功能。密码是阻止极速爆炸最简单的方法。
4月8日,前Facebook和雅虎首席安全官亚历克斯Stamos他表示,他将与Zoom合作,以改善其安全性和隐私。Stamos现在是斯坦福大学的兼职教授,在信息安全领域受到高度重视。
假的端到端加密
Zoom声称,如果每个与会者都通过电脑或Zoom移动应用程序而不是通过电话打电话,它的会议就会使用“端到端加密”。但是在来自截距Zoom的一位代表承认,Zoom对“端到端”和“端点”的定义与其他人的定义不同。
“当我们使用”结束到结束“短语时,”Zoom Spokeperson告诉拦截,“它是引入从缩放端点加密到缩放端点的连接。”
听起来不错,但发言人澄清说,他把Zoom服务器作为终端。
其他所有公司都认为终端是用户设备——台式机、笔记本电脑、智能手机或平板电脑——而不是服务器。而其他每一家公司都认为“端到端加密”意味着,将信息从一个端点传递到另一个端点的服务器无法解密信息。
当你从你的iPhone向另一个iPhone用户发送一条Apple Message时,苹果的服务器会帮助消息从一个地方传到另一个地方,但它们无法读取内容。
极速的情况并非如此。它可以看到会议中发生的任何事情,有时为了确保一切正常运行,它可能不得不这样做。只是不要相信它不能的暗示。
更新:在4月1日的一篇博客文章中,Zoom首席产品官欧迪加他写道:“我们错误地表示Zoom会议能够使用端到端加密,这给我们带来了混乱,我们首先要为这一混乱道歉。”
他写道:“我们认识到端到端加密的普遍定义与我们使用它的方式之间存在差异。”
Gal向用户保证,Zoom客户端应用程序发送和接收的所有数据(但不包括普通的电话线路、商务会议系统或浏览器界面)都是加密的,Zoom服务器或员工“在数据到达接收客户端之前,不会进行任何解密。”
然而,Gal补充道,“Zoom目前在云上维护着这些系统的密钥管理系统”,但“实施了健壮且有效的内部控制,以防止用户在会议期间共享的任何内容被未经授权访问。”
这意味着Zoom不会自行解密用户的传输信息。但由于Zoom持有加密密钥,如果有必要,比如它有搜查令或美国国家安全函(本质上是秘密搜查令),它就可以这么做。
对于那些担心政府监听的人,盖尔写道:“Zoom从未建立过一种机制,以合法的拦截目的对现场会议进行解密,我们也没有办法在不反映在与会者名单上的情况下将我们的员工或其他人插入会议。”
他补充说,公司和其他企业将很快能够自行处理加密过程。
“今年晚些时候将提供一个解决方案,允许企业利用Zoom的云基础设施,但在其环境中托管密钥管理系统。”
地位:这是一个误导广告的问题,而不是一个实际的软件缺陷。我们希望Zoom停止错误地使用“端到端加密”这个术语,但要记住,在Zoom完全实现之前,你不会得到真正的东西和Keybase一起购买的技术.
Zoom会议录音可以在网上找到
隐私研究员帕特里克·杰克逊(Patrick Jackson)注意到,保存在Zoom电脑上的会议记录通常会有特定类型的文件名。
因此,他搜索了未受保护的云服务器,查看是否有人上传了Zoom录音,并找到了15000多个未受保护的示例华盛顿邮报.杰克逊还在YouTube和Vimeo上发现了一些Zoom会议的录音。
这不是真正的zoom的错。这取决于主机来决定是否录制会议,并缩放为客户提供存储在缩放自己的服务器上的录制的选项。这也是主机来决定更改录制的文件名。
如果您主持一个Zoom会议并决定记录它,那么请确保在您完成之后更改默认文件名称。
地位:老实说,这不是Zoom真正的问题。
