你用极速吗?你当然知道。2020年3月,冠状病毒大流行袭击北美和欧洲后,似乎所有必须开始工作、上学甚至在家社交的人都开始使用视频会议服务。
但是,孩子,成长的痛苦。Zoom的日用户从2019年12月的1000万增加到2020年4月的3亿。它的安全和隐私做法受到了严格的审查——而专家们并不喜欢他们的发现。
事实证明,zoom的端到端加密并不完全结束,其他缩放会议与会者可以看到很多关于您的谈话,并且恶作剧和无聊的青少年可以“缩放炸弹”公共会议与令人震惊或粗鲁内容。
ZOOM的隐私政策似乎还可以让缩放对用户的个人数据进行任何内容的权利。
自2020年春季以来,这些缺陷中的大多数已经得到修复或缓解,但新问题似乎定期出现。我们有一个运行列表,上面列出了Zoom的问题,哪些已经修复,哪些仍然是一个开放的问题——在我们给你一些如何让Zoom更安全使用的提示之后。
鉴于这些问题,人们一直在寻找极速的替代品,来看看我们的Skype和放大面对面,看看旧视频应用程序如何适用于视频会议。我们也比较了Zoom vs谷歌Hangouts也
如何让Zoom使用起来更安全
除非你在讨论国家或公司机密,或者向病人透露个人健康信息,Zoom应该可以使用。这是易于设置,易于使用,最多可让100人免费加入会议。它只是工作。
对于学校的课程、下班后的聚会,甚至是只涉及日常事务的工作会议,使用Zoom没有太多风险。孩子们可能会继续涌向它,因为他们甚至可以使用它Snapchat的滤镜.
以下是让Zoom更安全的方法:
——设置变焦的双因素身份验证来保护你的账户。
通过网络浏览器加入Zoom会议而不是通过Zoom桌面软件。反病毒公司指出,网络浏览器版本的安全增强速度更快,而且“坐在沙箱里”以限制安全问题卡巴斯基.
单击链接加入会议时,您的浏览器将打开一个新选项卡并提示您使用或安装Zoom Desktop软件。但是“从您的浏览器加入”的较小链接。而是单击。
——要求Zoom会议的与会者使用密码登录如果你正在主持一个会议。这将使缩放爆炸不太可能。
最近缩放的一切都出现了出现问题
我们将最新的Zoom问题放在最上面,并将较老的问题分为未解决的、已修复的和不属于任何一类的问题。
9月13日:加密的Zoom电话通话
Zoom宣布计划推出端到端加密来变焦的电话,其付费云调用Pro,Business或Enterprise帐户的服务。端到端加密将是一对一缩放电话的选项。
8月13日:Zoom修复黑客漏洞
Zoom通过其变焦安全公告这一在Pwn2Own比赛中展示的远程黑客漏洞四月的日子已经定了。
所有用户,无论是在Windows,Mac或Linux上,都应将其缩放客户端更新为会议软件到5.6.3或更高版本。
7月31日:Zoom了结集体诉讼
极速暂时达成了和解在一起联邦集体诉讼中,该公司被指控在安全方面做得不够,误导用户,并在未经通知或同意的情况下与第三方共享用户个人数据。
根据这份尚未得到法官批准的协议,Zoom将支付8500万美元,分发给2016年3月至现在拥有Zoom消费者账户的任何人。(Zoom的企业和政府账户持有人不参与此次诉讼。)
付费Zoom用户有资格获得15%的订阅费或25美元,以金额较大的为准;非付费用户有资格获得15美元。已知的班级成员将通过电子邮件或普通邮件收到通知,他们可以提出索赔,其他人可以在网站www.zoommeetingsclassaction.com上线时使用该网站。
Zoom不承认和解协议中有不当行为。
6月4日:新的Zoom隐私政策
Zoom发布了一个更简单,更清晰隐私政策,反映了在线会议服务在COVID-19大流行期间“从主要面向企业的产品,转变为也广泛为个人使用的产品”的事实。
更新后的隐私策略包括哪些人可以“查看、保存和共享”Zoom会议内容,以及Zoom从用户设备收集的数据类型。
你可以阅读完整更新的Zoom隐私“声明”在这里.
5月1日:缩放介绍隐私通知
在一个博客文章中,Zoom宣布已经添加了隐私通知到其桌面客户端软件的最新版本。
该帖子称:“用户将看到新的产品内通知,这些通知旨在让用户更容易理解,当他们加入Zoom主持的会议和体验时,谁可以看到、保存和分享他们的内容和信息。”
通知会出现在会议聊天窗口的一个按钮上,标签是“谁可以看到你的消息?”在上面点击鼠标,就会弹出一个带有答案的通知气泡。
“当用户使用其他会议功能时,他们会发现类似的信息,”博客文章说,“比如转录、投票和问答。”
该公司补充说,未来的更新将包括会议主持人或参与者在会议期间使用Zoom转录或日程安排应用程序时的通知。
4月8日:Zoom漏洞让黑客劫持个人电脑和mac电脑
两名研究人员在Pwn2Own比赛中证明了他们可以远程控制Windows电脑和mac电脑通过在Zoom桌面应用程序中使用至少一个之前未知的漏洞。
幸运的是,唯一完全了解这两个研究人员和Zoom本身的人唯一能够理解的人,这是在解决修复程序。这种攻击在野外使用的可能性很低,但如果您担心,请在会议期间使用缩放浏览器界面,直到固定。
3月19日:缺陷让其他ZOOM用户看到太多
Zoom让会议参与者与同一会议中的其他人共享他们所有的电脑屏幕、屏幕的一部分,或者只是特定的应用程序窗口。
两位德国研究人员发现了一个短暂的时刻可以看到整个屏幕即使共享屏幕的Zoom用户只打算使用屏幕的一部分。任何记录会议的参与者都可以在回放过程中冻结画面,并查看潜在的敏感信息。
Zoom表示,它正在努力修复这个问题,但在撰写本文时,至少在Windows和Linux上,最新版本的Zoom桌面客户端软件中仍然存在这个缺陷。
2月23:Zoom的Keybase加密聊天修复了一个严重的缺陷
Zoom于2020年5月购买了加密社交媒体验证系统和聊天应用Keybase一个严重的缺陷即使用户删除了在线目录中的图片,也会保留它们。
2021年1月初,该漏洞被报告给Zoom,当月晚些时候发布了修复该漏洞的Keybase软件更新。
2月8日:研究表明,试图阻止zoom轰炸通常不会起作用
波士顿大学(Boston University)和宾厄姆顿大学(Binghamton University)的研究人员进行的一项新研究发现,阻止“极速爆炸”的努力,比如要求密码或让与会者在“等候室”里焦虑,往往不会起作用。
这是因为许多攻击都是由“内部人士”实施的,他们已经获得了参加会议的授权。
“我们的研究结果表明,绝大多数要求Zoom爆炸的人,不是袭击者无意中收到会议邀请或强行索取会议ID,而是那些能够合法进入这些会议的内部人士,尤其是高中和大学班级的学生,”该报告称。zoombomb的第一眼."
这篇论文认为,针对此类内部攻击的“唯一有效防御”是“为每个参与者创建独特的连接链接”。
2021年1月29日:该市试图取缔zoom轰炸
在阿拉斯加州的朱诺市,由于在市议会会议期间受到zoom炸弹袭击的困扰,该市正在探索取缔这种做法的方法。
据广播电台网站报道,市检察官罗伯·帕尔默说:“我们在议会层面上举行了一些会议,在联合校董事会层面上举行了一些会议,在委员会会议上也举行了一些会议。ktoo..
阿拉斯加首都的警察很难追踪Zoom炸弹袭击者。该市希望,通过将这种做法定为非法,可以迫使Zoom交出识别数字流氓的信息。
12月21日:Zoom高管被指控为中国间谍
在一份令人震惊的声明中美国司法部该公司表示,已对Zoom前高管晋疆(Jin Xinjiang,又名Julien Jin)发出逮捕令。直到不久前,晋疆一直担任Zoom与中国政府之间的联络人。
美国指控陈利用职务之便,扰乱和终止美国Zoom用户在**广场大屠杀周年纪念时举行的Zoom会议,并向中国政府提供有关Zoom用户和Zoom会议的信息。金被认为居住在中国。
据称,据称有助于在众所周知的中文审议名称中创建假电子邮件账户和缩放账户的未命名的共同承诺者,以“纪念天安门广场大屠杀的会议的主人和参与者的证据是支持恐怖主义组织,煽动暴力或分发儿童色情内容。“
法务部表示,中国政府利用陈某提供的信息,对中国境内的Zoom用户或境外的Zoom用户的中国居民家属进行了报复。
司法部的声明和逮捕令只提到了一个不愿透露姓名的“1号公司”,即金的雇主,但在一篇博客文章中,极速承认是公司干的在2020年6月收到美国政府的传票后,该公司一直在进行自己的调查。
该职位进一步解释说,晋于2019年10月的Zoom被招待是与中国政府协议的一部分,这是2019年9月“在没有警告的情况下关闭了中国的服务”。
获得缩放的价格在中国扭转的是雇用“法律执法请求的内部联系” - 即金 - 并将中国用户数据移到中国的服务器。Zoom Service于2019年11月在中国恢复,司法部的逮捕逮捕令在一年后发布。
Zoom表示:“我们在调查过程中了解到,这名前雇员违反了Zoom的政策,包括试图绕过某些内部访问控制。”“我们已经终止了这个人的雇佣。”
Zoom承认,金立群“与中国当局分享或指示分享了有限数量的个人用户数据”,“少于10个……非中国用户”也被提供给中国。
12月7日:Zoom网络钓鱼诈骗
这商业改进局警告Zoom用户,骗子正试图通过钓鱼邮件和短信窃取他们的用户名和密码,报告Threatpost.
这些信息会告诉你“你的Zoom账户已被暂停”或“你错过了一个会议”,并提供一个有用的链接,让你重新登录。但不要上当,登录页面实际上是一个陷阱,目的是获取你的Zoom用户凭证,骗子可以利用这些凭证,甚至窃取你的Zoom账户。
11月16日:Zoom终于打败了Zoom-bomb
缩放的最大问题之一是“缩放轰炸”,其中不邀请的参与者崩溃了缩放会议并扰乱它。整个周末,Zoom发布了两项新功能为了解决这一问题。
一,“暂停参与者活动,”让会议主持人暂停会议,踢出破坏性的参与者,然后恢复会议。另一方面,“参与者的报告”延伸至会面与会者报告中断参与者的能力,这是一个以前仅为会议主持人提供的补救措施。
11月10日:联邦贸易委员会称极速在安全问题上撒谎
联邦贸易委员会宣布Zoom“误导用户”,“参与了一系列欺诈和不公平的行为”考虑到自身的安全。联邦贸易委员会引用了3月份发现的端到端加密技术在未经授权的情况下放大在Mac上安装的软件2018年和2019年。
缩放必须同意每隔一年的年内部安全审查和外部安全审查,并必须实施漏洞管理计划。另一个规定是那个缩放为客户提供多因素身份验证,它已经实现了。
11月6日:缩放按键监视
德克萨斯州和俄克拉荷马州的研究人员发现了这一点在Zoom通话时,可以知道某人在输入什么看他们的肩膀和手臂就知道了。
通过电脑,研究小组能够在75%的时间内破解人们的密码,这取决于相机的分辨率以及受试者是穿着袖衬衫还是留着长发。
研究人员表示,任何类型的视频会议平台都可以用于此,YouTube视频或Twitch等流媒体平台也可以。
10月27日
Zoom的端到端加密功能终于上线了,不过在iOS系统上还需要等待苹果的批准。我们有指示如何启用Zoom的端到端加密.
10月15日
经过很长一段时间没有缩放新闻,公司宣布结束结束加密许多月的结束加密很快就可以进行beta测试.
用户将不得不等待10月的第三周Zoom客户端软件更新。会议主持人将决定是否对Zoom会议进行端到端加密。那些会议(目前)对于试图通过网络浏览器界面或电话加入的用户是无效的。
7月31日
如果你还记得,在2020年4月的几天里,Zoom的网页界面宕机了,现在我们知道原因了:该公司正在修复一个非常严重的安全漏洞,任何人都可能参加Zoom的私人会议。
英国安全研究员汤姆安东尼本周在他的博客上详细说明他是如何发现他可以在6位点引脚Zoom分配给私人会议上的无数随机猜测。这是一百万可能的可能性,这可能是一个人类的艰难,但对于运行多个线程的一个正当动力的PC并不难。
安东尼发现他能在大约半小时内闯入极速的会议。这离很多会议结束还远着呢。
这个缺陷已经修复了,所以你不用担心极速的轰炸。
状态:固定的。
7月10日
一位不愿透露姓名的安全研究人员发现这是Windows的Zoom会议客户端软件的一个关键缺陷这将让黑客远程接管运行Windows 7或更早版本的任何PC。缩小在缺陷成为公众知识之后不久修复了软件更新的缺陷。
状态:固定的。
6月17日:缩放对批评者的洞穴,将为每个人提供端到端加密
从隐私倡导者持续批评后支持,Zoom宣布6月17日发表的一篇博客文章它即将推出的端到端加密(E2E)将不再只面向付费用户。数百万在学校、社交和工作中免费使用Zoom的人也将获得端到端加密。
首席执行官Eric S. Yuan写道:“我们已经确定了一条前进的道路,它平衡了所有用户的合法隐私权和我们平台上用户的安全。”“这将使我们能够向全球所有用户提供E2EE作为一项高级附加功能——免费或付费——同时保持防止和打击我们平台上的滥用行为的能力。”
但是,如果您是想要E2E的免费用户,您将首先通过一次性密码或类似服务验证您的身份以缩放。这将使“缩放炸弹”会议更加困难。
Yuan提醒说,端到端加密仍然是一个可选功能,因为当它被激活时,没有人可以通过电话或某些办公电话会议设备参加会议。它将取决于会议主机是否激活端到端加密。
6月12日
Zoom在美国因言论自由和审查制度而陷入困境,在中国政府的要求下,它暂停了三名中国异见人士的账户他们正在主持纪念6月4日**纪念日的公开会议。
该公司为行动道歉博客帖子6月11日并表示将开发一种方法,在不完全关闭会议的情况下,将某些地点(如中国)的与会者拒之门外。
这不足以满足来自双方的十几缔约国和参议员,他们将信件写给中国出生的ZOOM CEO ERIC S. YUN要求他的公司与北京政府有多舒适。
6月4日:思科Talos揭示了Zoom的两个严重缺陷
塔洛斯6月3日,思科(Cisco)旗下的一家信息安全研究公司披露,它在Zoom客户端应用程序中发现了两个严重的缺陷,这两个缺陷现在都已得到修补。
这第一个缺陷可能会让攻击者使用一个放置在Zoom会议聊天中的特别创建的动画GIF来攻击其他人机器上的Zoom客户端软件,从而迫使安装恶意软件,或者,用Talos的话来说,“实现任意代码执行”。
这第二个缺陷还涉及Zoom会议客户端软件中的聊天功能,同样存在严重的潜在后果。问题是Zoom没有验证共享压缩文件(如.zip文件)的内容。
攻击者可以通过Zoom会议聊天向用户发送压缩文件形式的恶意软件,用户的Zoom客户端会在Zoom应用程序的目录中保存并打开恶意软件。
更糟糕的是,如果用户要将缩放压缩文件保存在PC上的其他位置,例如桌面上,则攻击可能会以相同的名称发送更改的第一个文件版本。
Zoom会自动打开第二个版本(但不是第一个),允许恶意软件“在几乎任意路径上植入二进制文件……可能会覆盖重要文件,导致任意代码执行。”
状态:固定的。
6月1日星期一
Zoom即将推出的端到端加密主要面向付费用户,正如Zoom在5月7日声明的那样。但为Zoom提供安全问题咨询的知名信息安全专家亚历克斯·斯塔莫斯(Alex Stamos)表示路透上周,学校和其他非营利企业可能也能获得端到端加密他们的账户。
Stamos对路透表示:" CEO正在考虑不同的理由。"“目前的计划是付费客户加上公司知道他们是谁的企业账户。”
5月27日
Zoom Rooms的所有管理员都需要更新他们的软件Zoom在5月26日的一篇博客文章中说。
Zoom 5.0的升级将提供“更大的安全和隐私主机控制,”Zoom说,但也“满足5.0或更高版本的GCM加密的最低要求,5月30日所有会议都将启用和要求GCM加密。”
有关更新Zoom Rooms的更多信息请点击在这里.Zoom客户端软件的5.0更新已于4月底向Windows、Mac、Android、iOS、Chrome OS、Amazon Fire和Linux用户推出。
5月21日
还有两个例子损坏变焦安装程序是趋势科技研究人员发现的。
首先在PC上打开后门;在PC的所有者上屏幕截图,钥匙跳和网络摄像头劫持并将PC引入Devil Shows Botnet。
两个安装程序都安装了Zoom软件客户端,所以受害者可能不知道。和往常一样,从Zoom网站直接获得Zoom软件。或者直接从浏览器加入Zoom会议。
5月18日
放大了未解释的中断5月17日(周日),美国和英国的数千名用户无法使用该服务。服务中断始于英国时间周日上午,持续了几个小时,影响了两国的在线教堂服务。甚至是英国政府每日冠状病毒简报受到影响,淘汰了记者在缩放上提出问题的能力。
一些用户在Twitter上报告说,注销Zoom账户,然后重新登录,似乎解决了这个问题。
Zoom的状态页面显示,周日早上发生了一次后端更新,但这次更新似乎与几小时后开始的宕机没有任何关联。
这放大状态页当时表示,中断“似乎仅限于一部分用户”,Zoom正在“努力查明问题的根源和范围”。几个小时后,该问题在没有进一步细节的情况下被宣布“解决”。
5月12日
据以色列安全公司的研究人员称,在过去几周内,网络犯罪分子可能已经注册了数百个与zoom相关的新网站地址检查点.
许多这样的网站被用于网络钓鱼攻击,以获取受害者的Zoom用户名和密码,类似的骗局也利用竞争对手的视频会议平台,如谷歌Meet和Microsoft Teams。
上周末,网络破坏者劫持了人质俄克拉荷马城大学的毕业典礼,用种族主义语言和符号取代了Zoom的视频feed。目前还不清楚这是常规zoom轰炸的结果,还是袭击者使用了不太知名的方法来干扰视频。
5月8日:ZOOM禁止从技术支持电话中免费用户
Zoom于5月7日宣布即由于其技术支持人员因呼叫而被召唤而言,它将能够为有偿账户的“业主和管理员”提供个人技术援助。
换句话说,任何免费Zoom账户的用户、所有者或管理员,以及付费账户的最终用户,都无权获得人工帮助。相反,他们将不得不依赖常见问题和如何做的清单变焦在线资源页面。
目前,这一规定仅适用于2020年5月和6月。如果冠状病毒封锁持续更长时间,Zoom可能不得不雇佣更多技术支持人员。
5月7日:Zoom承诺与纽约司法部长达成协议,加强安全
纽约州总检察长莉蒂夏·詹姆斯办公室与放大达成协议5月7日在调查Zoom的安全和隐私实践后。
协议中没有多少新内容。NYAG对Zoom的大多数抱怨都涉及你正在阅读的这篇报道中讨论的问题。Zoom同意的大多数规定都是该公司已经在做的事情,包括强制设置密码和使用更好的加密技术。
从长远来看,Zoom必须定期进行代码审查,并每年进行渗透测试,让付费黑客试图突破公司的防御。
只有两件新事物将直接影响消费者。缩放通过防止自动密码填充攻击(例如通过将CAPTCHA添加到登录页面),并且必须自动重置受影响的密码,缩放已释放密码安全性。
它还必须更新其“可接受使用”政策,以禁止“包括基于种族、宗教、民族、国籍、性别或性取向仇恨他人在内的虐待行为”。
坦率地说,这些是许多其他在线公司的长期标准政策,因此他们有点惊讶,他们还没有变焦政策。
5月7日
变焦是收购了纽约小型初创公司Keybase为了快速实现Zoom会议的真正端到端加密,Zoom首席执行官Eric S. Yuan宣布.收购价格或交易的其他条款没有披露。
Keybase是一款用户友好的软件,可以方便安全地加密信息和社交媒体帖子。
今年3月,Zoom不得不承认其吹捧的“端到端”加密并非真正的加密,因为Zoom自己的服务器总是能够访问会议内容。一旦Keybase的技术被整合,情况就不再是这样了。
5月6日
从5月9日开始,所有Zoom会议(免费或付费)都将默认要求会议密码和等候室,变焦宣布.只有主机将能够默认分享屏幕,但可以像其他设置一样,可以更改。
5月5日:Zoom总裁袁解决安全、国籍问题
在一个公司博客Zoom首席执行官Eric S. Yuan表示,自冠状病毒封锁开始以来,Zoom使用量的大幅增加是“具有挑战性的”,但也“为我们提供了推动有意义的改变和改善的机会”。
袁承认,“我们没有为新客户设置预先配置的安全功能,特别是学校。”他指的是会议密码和等候室。“相反,我们认为他们会理解我们的平台,就像我们的商业客户理解我们的平台一样,并自行定制这些功能。”
这导致了“不请自来的、无礼的、有时甚至是真正邪恶的人扰乱会议,”袁亚非写道。(这样一个人扰乱了对性暴力的缩放会议上周在海湾地区。)
袁隆平还谈到了有关他和祖姆与中国关系的传言。他说,他自1997年以来一直住在美国,2007年成为美国公民,Zoom是一家完全美国的公司。
与许多跨国科技公司类似,Zoom在中国设有业务和员工. ...由美国母公司的子公司运营,”袁写道。“我们在中国的业务与美国同行本质上相似,美国同行也在那里运营并拥有员工。”
袁补充说:“我们在中国有一个由澳大利亚一家领先公司运营的数据中心,并且是地理隔离的。”“它的存在主要是为了满足我们的财富500强客户,这些客户在中国有业务或客户,希望利用我们的平台与他们联系。”
5月4日
伦敦《金融时报》(Financial Times)的一名记者因被发现在竞争对手伦敦报纸的Zoom内部会议上捣乱而辞职。
Mark di Stefano在Twitter上宣布了他的辞职后《独立报》记录了迪·斯特凡诺上周参加了一个关于减薪和休假的独立员工会议,先是以自己的名义,然后是匿名的。
此后不久,金融时报通过Di Stefano对独立制作的削减进行了故事。Di Stefano引用了他的来源作为“电话的人”,独立说。
《独立报》还发现,迪·斯特凡诺的手机早些时候曾被用来访问Zoom在另一家伦敦报纸《旗帜晚报》(Evening Standard)举行的会议。那次会议之后,英国《金融时报》发表了一篇关于《标准晚报》(Evening Standard)裁员和减薪的文章。
5月1日
Zoom并不是唯一一个隐私政策存在问题的视频会议平台,《消费者报告》思科的Webex,微软的Teams和Skype,谷歌的Duo, Meet和Hangouts也有。
“所有这三家公司都可以在您进入视频会议时收集数据,将其与来自数据经纪人和其他来源的信息相结合,以构建消费者配置文件,并潜在地利用培训面部识别系统的目的,”消费者报告说。
《消费者报告》表示,您应该知道视频会议中的所有内容都可能被录制,要么是由主持人录制的,要么是其他与会者录制的。
它还建议通过电话拨打视频会议,如果可能的话不要创建与这些服务相关的账户,否则使用“一次性”电子邮件地址。
4月30日:变焦再次抓住纤维
变焦股份周四跌幅近9%4月30日,该公司加入纳斯达克100指数。
从记者发出后边缘在上周的一篇博客文章中,Zoom承认,事实上,它最近的日用户数量并没有达到3亿的峰值。
相反,缩放的峰值为3亿日报“参与者”。如果您每天参加多个缩放会议,那么每次都被视为单独的“参与者”。
“我们无意中将这些参与者称为”用户“和”人“,”Zoom在濒临遵守中说。“这对我们的一部分是真正的监督。”
那么Zoom现在每天有多少用户呢?该公司没有透露。
4月30日:更多嵌入恶意软件的Zoom安装程序
趋势科技的研究人员发现了使用恶意软件损坏的另一个缩放安装程序文件。
在这种情况下,它的间谍软件可以打开网络摄像头,拍摄屏幕截图和日志键键,以及收集有关其运行的系统的诊断数据。它还安装了Zoom Desktop客户端的完全工作版本。
趋势科技团队在一篇博客文章中指出:“由于系统下载了合法的Zoom应用程序版本(4.6),它不会让用户产生怀疑。”“然而,这个系统已经被破坏了。”
您无需在桌面上安装任何软件以运行缩放。但如果你必须,那么只能从官方网站获取该软件https://zoom.us/download.
4月29日:瞄准外国黑客
放大是外国间谍的主要目标,尤其是中国情报手术,国土安全部已警告美国政府机构和执法机构,据ABC新闻.
据称,美国国土安全部的情报分析称:“Zoom在公共和私营部门实体的突然巨大增长和使用,加上其高度公开的网络安全问题,创造了一个易受攻击、目标丰富的环境。”“任何目前正在使用或考虑使用Zoom的组织都应该评估使用它的风险。”
外国间谍会对任何基于互联网的通信媒介感兴趣,因为它们的增长速度如此之快。但国土安全部的报告指出,中国可能会干预Zoom的安全,因为Zoom在中国有大量员工。
“中国对Zoom服务器的访问使北京独特地定位于目标美国公共部门和私营部门的用户,”ABC新闻报告称DHS报告称为陈述。
然而,Zoom在过去一周让付费会议主持人可以选择避开中国和北美等特定地区的Zoom服务器。未支付的Zoom主机将默认只使用其所在地区的服务器。
Zoom发言人告诉ABC新闻,国土安全部的报告“被严重误导”,包括“明显的不准确”。
4月28日:Zoom比Apple的Facetime更安全吗?
一种Mozilla的最新报告该公司表示,Zoom的隐私和安全政策和做法优于苹果公司(Apple)的FaceTime。
该报告称,Zoom在加密、密码强度、更新、漏洞报告和隐私方面得分为5/5,与Skype、Signal、牛仔裤和谷歌的Duo、Hangouts和Meet的三重奏相匹配。
FaceTime只得到了4.5/5,因为苹果的视频通话服务不需要用户独立登录。
4月28日:Zoom网络钓鱼骗局捕食在家里工作的恐惧
一个新的放大网络钓鱼诈骗在冠状病毒封锁期间,肯定会引起任何在家工作的人的注意。
它似乎来自你雇主的人力资源部门,邀请你参加Zoom会议,几分钟后开始讨论是否可能终止你的雇佣关系。
如果你点击电子邮件中的链接加入会议,你就会进入一个非常逼真的Zoom登录页面。这是假的。如果你输入你的凭证,然后骗子可以接管你的Zoom帐户。
4月27日,星期一:Zoom 5.0已经发布
上周,Zoom终于将其会议客户端软件升级到了5.0版本。下面是我们的指南如何更新到Zoom 5.0.
由于Apple在可以推出新版本的应用程序之前,Apple必须验证软件,更新尚未适用于iOS。我们在谷歌播放App Store中看不到周一下午的东部时间(4月27日),但赔率很快就会出现。
4月24日
Zoom公司库存周五再次上升在纳斯达克证券交易所宣布之后Zoom将加入纳斯达克100指数4月30日星期四。
在冠状病毒危机期间,没有任何一家公司从“居家令”中受益更多。如果Zoom的日流量没有从2019年12月的1000万用户激增到4月中旬的3亿用户,很难想象它会加入纳斯达克100指数。
4月23日
尽管极速有那么多坏消息,该公司的股票价格飙升周四收盘后上涨9%该宣布日常用户数量已上升至3亿.
换个角度来看,3月份的日使用量达到了2亿人的峰值,该公司在4月1日表示.2019年12月,Zoom的日用户达到1000万的峰值。
4月22日:Zoom 5.0宣布
在一个有些误导新闻公告/博客帖子Zoom宣布将推出Windows、Mac和Linux操作系统的5.0版桌面软件。
新版本将包括我们最近看到的许多安全修复程序,我们最近看到了Zoom Web界面,包括从会议中踢出缩放轰炸机的能力,确保会议数据不通过中国,并将每个人都在等待会议在“候车室”。它还为主机屏幕添加了一个安全图标,并更好地加密到缩放会议。
我们检查了一下缩放的更新日志发现这个更新要到4月26日星期天才能发布。
4月22日:使用假Zoom客户端软件进行信息抓取
思科Talos研究人员表示,ZOOM的会议聊天功能使外人在特定组织中找到所有ZOOM用户的聊天功能。
如果你有一个有效的Zoom账户,Cisco Talos在博客帖子中解释,您可以假装您在任何组织工作,并获得电子邮件地址使用该组织电子邮件域的每个注册Zoom用户的全名和聊天id。
你不需要验证你在那里工作过,你甚至不需要参加Zoom会议来获取信息。
可以利用该信息以披露包括用户的电子邮件地址,电话号码,电话号码的进一步联系信息,或者在vCard中存在的任何其他信息,“或数字名片,或数字名片,”Cisco Talos写道。
思科塔洛斯的帖子称:“这个漏洞可能被一种鱼叉式钓鱼攻击利用,针对某个组织的已知个人,目的是转储该组织内所有Zoom用户的电子邮件地址。”“最近不得不安装新软件以设置远程工作的用户可能特别容易受到社交工程电子邮件的影响,这些电子邮件声称指示用户安装新的或更新的特洛伊木马‘Zoom客户端’。”
幸运的是,Zoom已经解决了这个问题,这完全是在服务器端。
状态:固定的。
周二,4月21日
在一个博客4月20日,Zoom表示,现在可以选择将某些国家排除在呼叫路由之外。这将使Zoom会议管理员避免通过中国、美国或其他7个地区和国家的Zoom服务器传送会议数据。
新更新到Zoom平台4月19日推出的网络界面包括在会议期间屏蔽与会者的一些个人信息,如电子邮件地址或电话号码。另一个变化是,共享同一个电子邮件域的用户将不再能够通过名字搜索对方。
周一,4月20日
这纽约时报报道称,Dropbox高管非常担心Zoom的安全漏洞,因此在2018年,Dropbox创建了自己的秘密漏洞悬赏程序。
换句话说,Dropbox会为在Zoom中发现的安全漏洞向黑客支付费用。(Dropbox的员工经常使用Zoom, Dropbox也是Zoom的投资者之一。)据《纽约时报》报道,Dropbox将确认这些漏洞,然后将它们交给Zoom,让Zoom来修复它们。
星期五,4月17日
Zoom会议录音很容易在网上找到,第2部分
一位安全研究人员表示,保存在Zoom云服务器上的Zoom会议视频记录很容易被发现,并经常被查看Cnet.
菲尔Guimond注意,Zoom会议的在线录音有一个可预测的URL结构,因此很容易找到。(《华盛顿邮报》(The Washington Post)上周报道了用户上传至第三方云服务器的Zoom录音的类似问题。在这些情况下,会议记录的文件名遵循可预测的模式。)
直到Zoom发布了一系列更新上周二,Zoom的会议录音不需要密码保护。
圭蒙德构建了一个简单的工具,可以自动搜索Zoom会议记录,并试图打开它们。
如果一个会议有密码,他的工具会试图通过运行数百万个可能的密码来强制访问。如果会议记录是可见的,那么Zoom会议ID也是可见的,攻击者可能能够访问未来的重复会议。
为了打败圭蒙德的自动化工具,Zoom增加了一个验证码挑战,迫使将要录制会议的观察者证明他们是人类。但是,Guimond说,URL模式仍然是一样的,攻击者仍然可以尝试手动打开每个生成的结果。
状态:减轻了避免攻击的额外障碍,但并没有真正修复。
周四,4月16日
Zoom宣布它正在招聘Luta Security是由凯蒂·莫斯鲁斯领导的咨询公司,来改造Zoom的“Bug Bounty”程序,这为黑客提供了寻找软件缺陷。
穆萨里斯在微软和五角大楼建立了第一个漏洞赏金程序。在她自己的博文,她宣布Zoom将引入其他知名信息安全公司和研究人员来提高其安全性。
在每周的网络研讨会上,据ZDNet新聘请的安全顾问亚历克斯·斯塔莫斯(Alex Stamos)表示,在发现Zoom现有的加密系统存在缺陷后,Zoom将改用更强大的加密标准。
另一则新闻中,一位国会议员对此表示不满4月3日举行的国会简报会被“放大炸弹”炸毁。至少三次。
星期三,4月15日
总部位于伦敦的跨国银行渣打银行(Standard Chartered)的负责人警告员工,出于安全考虑,不要使用Zoom或谷歌Hangouts进行远程会议路透.
据匿名讲的两位银行员工,标准包装主要使用竞争对手蓝牛仔裤视频会议平台。
去年,渣打银行商定了支付给英美监管机构11亿美元此前该行承认违反了对伊朗的贸易制裁。
变焦零日利用出售50万美元
黑客们显然想把Zoom的两个“零日”漏洞卖给出价最高的人,副报告。
零天是利用漏洞的黑客,软件制造商不知道,哪些用户几乎没有防御。
告诉零天零天的来源说,一个漏洞是适用于Windows并让远程攻击者完全控制目标的计算机。捕获者是攻击者和目标必须在同一缩放呼叫中。其要价为500,000美元。
一位不愿透露姓名的消息人士告诉《Vice》杂志:“我认为这只是孩子们希望引起轰动。”
据说其他零天是摩托斯,并不太严重。
状态:显然是不固定的。
周二,4月14日
变焦宣布4月13日,付费Zoom账户的用户将能够选择他们的数据将通过世界哪个地区传送:澳大利亚、加拿大、中国、欧洲、印度、日本/香港、拉丁美洲或美国。
这是对4月初发现许多由美国居民主持和参与的Zoom会议都是通过设在中国的服务器进行的反应。中国保留了在没有搜查令的情况下查看国内服务器上发生的任何事情的权利。
Zoom免费服务的用户的数据将只由其所在地区的服务器处理。
状态:现在,使用web界面而不是桌面软件的付费Zoom用户可以使用这个选项。适用于Windows、Mac和Linux的Zoom桌面软件将于4月26日上市。
开放/未解决的问题
超过50万的Zoom账户被公开拍卖
的用户名和密码超过50万的Zoom账户在犯罪市场上被出售或赠送。
这些账户不是由于Zoom数据泄露,而是由于伪造凭证。这是指犯罪分子试图通过重复使用之前数据泄露中被盗账户的凭证来解锁账户。只有当一个帐户持有人对多个帐户使用相同的密码时,它才能工作。
状态:不知道,但这不是极速的错。
网上找到2300套Zoom登录凭据
来自轮串的研究人员在刑事在线论坛中发现了一组2,300名缩放登录凭据。
“除了个人账户,还有很多属于银行、咨询公司、教育机构、医疗保健提供商和软件供应商等的企业账户。Etay Maor4月10日在一篇博客文章中写道。
Maor写道:“虽然有些账户‘只’包含电子邮件和密码,但其他账户包括会议id、姓名和主机密钥。”
亚摩尔告诉Threatpost鉴于他们的数量相对较少,这些凭证似乎不像是Zoom数据泄露造成的。他推断,这些信息来自“其他公司/机构保存的小名单和数据库”。
也有可能有些凭证是“凭证填塞”的结果。这是一个(很大程度上)自动化的过程,罪犯试图通过循环使用可能的电子邮件地址和密码登录网站,然后获取任何有积极结果的信息。
状态:未知。这可能是本身的缩放问题。
变焦利用“零日”
信息安全研究人员所知道的几个Zoom“零日”漏洞据Vice报道。零日(zero -days)指的是利用软件漏洞,软件制造商不知道也没有修复这些漏洞,因此在漏洞出现之前没有“零日”的准备时间。
然而,Vice的一名消息人士暗示,其他视频会议解决方案也存在安全漏洞。另一位消息人士表示,由于需求不足,Zoom zero-days的售价并不高。
状态:未解决,直到其中一些缺陷来光明。
Zoom泄露了网上交易的账户
犯罪分子在“暗网”上交易被破解的Zoom账户,雅虎新闻报道。
该信息显然来自以色列网络安全公司Sixgill,该公司专门监控地下网络犯罪活动。我们找不到任何关于调查结果的资料Sixgill网站.
Sixgill告诉雅虎,他们发现了352个被入侵的Zoom账户,包括会议id、电子邮件地址、密码和主机密钥。有些账户属于学校,每个账户都属于一家小企业和一家大型医疗服务提供商,但大多数都是私人账户。
状态:不是一个bug,但绝对值得担心。如果你有一个Zoom账户,确保它的密码与你其他账户的密码不一样。
放大安装程序与恶意软件捆绑
研究人员趋势科技发现了已捆绑在一起的缩放安装程序的版本cryptocurrency-mining恶意软件,即硬币矿工。
Zoom安装程序将在你的Windows电脑上安装Zoom 4.4.0.0版本,但它带有一个硬币挖矿机,趋势科技给它起了一个吸引人的名字:Trojan.Win32.MOOZ.THCCABO。(顺便说一下,最新的Zoom Windows客户端软件已经升级到4.6.9版,你只能从在这里.)
硬币挖矿机将提高你的PC的中央处理器单元和它的图形卡(如果有的话),以解决数学问题,以产生新的单位cryptocurrency.如果你的风扇突然加速,或者Windows任务管理器(按Ctrl + Shift + Esc)显示出意外的CPU/GPU使用过多,你会注意到这一点。
为了避免被恶意软件攻击,确保你在运行一个最好的杀毒软件不要点击电子邮件、社交媒体帖子或弹出信息中的任何链接,这些链接承诺会在你的电脑上安装Zoom。
状态:打开了,但这不是极速要解决的问题。它不能阻止其他人复制和重新发布它的安装软件。
变焦加密不是它声称的那样
Zoom不仅误导了用户关于其“端到端加密”(见下文)的看法,而且似乎完全没有透露其加密算法的质量。
Zoom表示,它使用AES-256加密技术对在Zoom服务器和Zoom客户端(也就是你和我)之间传输的视频和音频数据进行编码。但是研究人员公民实验室多伦多大学的研究人员在4月3日发布的一份报告中发现,Zoom实际上使用了较弱的AES-128算法。
更糟糕的是,Zoom使用了一种内部加密算法来保存原始文件中的模式。这就好像有人在灰色的墙上画了一个红色的圆圈,然后一个审查员在这个红色的圆圈上画了一个小圆圈。你看不到原始信息,但形状还在那里。
“我们劝阻Zoom目前使用Zoom的使用情况,需要强大的隐私和机密性,”公民实验室报告称,例如“政府担心间谍活动,有关网络犯罪和工业间谍活动的业务,医疗提供者处理敏感患者信息”和“活动家,律师和记者在敏感主题上工作。”
状态:没有解决。在4月3日的一篇博客文章中,Zoom首席执行官Eric S. Yuan承认加密问题,但只表示“我们认识到我们可以在加密设计上做得更好”,“我们希望在未来几天在这方面有更多的分享。”
Zoom在4月26日发布的桌面软件更新声明中表示,它将会更新升级加密实现在5月30日之前为所有用户提供更好的格式。
缩放软件很容易被破坏
好的软件有内置的反篡改机制,以确保应用程序不会运行被第三方修改的代码。
Zoom有这样的反篡改机制,这很好。但这些反篡改机制本身并没有受到保护,一位自称为“计算机专业”的英国学生说。劳埃德在4月3日的一篇博客文章中。
不用说,这很糟糕。Lloyd展示了Zoom的反篡改机制是如何被轻易禁用的,甚至可以被劫持应用程序的恶意版本所取代。
如果您通过Windows软件如何运作的工作知识进行阅读,这是一个非常达到的段落:“此DLL可以逐渐卸载,渲染防篡改机制无效和void。DLL没有固定,意味着攻击者来自第三方进程可以简单地注入远程线程。“
换句话说,电脑上已经存在的恶意软件可以使用Zoom自己的反篡改机制来篡改Zoom。犯罪分子还可以创建一个完整的Zoom版本,经过修改后可以执行恶意行为。
状态:没有解决。
变焦轰炸
任何人都可以“轰炸”Zoom公开会议如果他们知道会议号码,然后使用文件分享照片发布令人震惊的图片,或在音频中发出恼人的声音。这联邦调查局甚至对此发出了警告几天前。
缩放会议的主机可以静音甚至踢掉麻烦制造者,但他们可以用新的用户ID来回来。避免缩放轰炸的最佳方式是与预期参与者除以任何人而不与任何人分享缩放会议号码。您还可以要求参与者使用密码登录会议。
4月3日,美国密歇根州东区检察官办公室表示,“任何侵入电话会议的人都可能被以州或联邦罪名起诉。”目前还不清楚这是否只适用于密歇根州东部。
状态:有很简单的方法可以避免极速爆炸,这是我们要讲的在这里.
电子邮件地址和个人资料照片泄露
Zoom自动将共享相同电子邮件域的所有人放入“公司”文件夹,在那里他们可以看到彼此的信息。
使用Gmail、Yahoo、Hotmail或Outlook.com等大型网络邮件客户端的用户可以例外,但Zoom可能不知道的小型网络邮件提供商显然不适用。
一些使用互联网服务提供商提供的电子邮件地址的荷兰Zoom用户突然发现了这一点他们和几十个陌生人在一个“公司”里- 并且可以看到他们的电子邮件地址,用户名和用户照片。
状态:未解决的,但4月19日的Zoom软件更新Zoom web界面的用户可以确保同一电子邮件域的用户不再自动通过名字搜索对方。Zoom桌面客户端软件将在4月26日得到类似的修复。
与广告商分享个人数据
一些供职于《消费者报告》(Consumer Reports)的隐私专家仔细研究了Zoom的隐私政策,发现它显然是让Zoom有权使用Zoom用户的个人数据并与第三方营销人员分享。
后《消费者报告》在这篇博文中,Zoom迅速重写了其隐私政策,删除了最令人不安的段落,并声称“我们不会出售你的个人数据。”
状态:未知。我们不知道与第三方广告商的Zoom的业务交易的详细信息。
您可以找到“战争”查找开放式缩放会议
你可以找到开放的Zoom会议通过快速循环可能的Zoom会议id,一位安全研究员告诉独立安全博主布莱恩·克雷布斯。
这名研究人员通过Tor进行查询,通过了Zoom的会议扫描屏蔽程序,该程序随机分配了他的IP地址。这是“战时驾驶”的一种变体,即在拨号时代随机拨打电话号码来寻找开放的调制解调器。
研究人员告诉克雷布斯,使用该工具,他每小时可以找到大约100个开放的Zoom会议,而且“在(Zoom)会议上启用密码是唯一可以挫败它的事情。”
状态:未知。
Zoom会议聊天不会保持隐私
二推特用户如果你正在参加Zoom会议,并使用会议聊天应用程序中的私人窗口与会议中的另一个人进行私人交流,主持人收到的会议结束记录中将显示该对话。
状态:未知。
解决/固定的问题
缩放漏洞允许帐户劫持
一种库尔德人的安全研究员他说,Zoom向他支付了漏洞赏金——发现严重漏洞的奖励——奖励他在知道或猜出账户持有人的电子邮件地址的情况下,找到了如何劫持账户的方法。
这名自称“s3c”,但真名可能是尤素福·阿卜杜拉(Yusuf Abdulla)的研究人员表示,如果他试图用Facebook账户登录Zoom, Zoom会要求他提供与该Facebook账户相关的电子邮件地址。然后Zoom会打开一个新网页,通知他有一封确认邮件已经发送到了那个邮箱地址。
通知网页的URL将在地址栏中具有唯一的标识标记。作为一个比真实的更短的例子,让我们说这是“zoom.com/signup/123456xyz”。
当s3c收到并打开Zoom发送的确认邮件时,他点击了邮件正文中的确认按钮。这又把他带到另一个网页,确认他的电子邮件地址现在与一个新账户相关联。到目前为止,一切顺利。
但随后s3c注意到Zoom确认页面的URL中唯一的标识标签与第一个ID标签相同。让我们用“zoom.com/confirmation/123456XYZ”这个例子。
匹配的ID标签,在确认之前使用的标签和确认后的另一个标签,意味着S3C可以避免接收确认电子邮件,并单击确认按钮。
事实上,他可以在最初的注册表格中输入任何电子邮件地址——你的、我的或billgates@gmail.com。然后,他可以从最终的Zoom通知页面复制ID标签,并将ID标签粘贴到已经存在的Zoom账户确认页面。
他就能访问所有用目标邮箱创建的Zoom账户。
s3c用他不太熟练的英语写道:“即使你已经将自己的账户与Facebook账户链接,Zoom也会自动解除链接,并将其与攻击者的Facebook账户链接起来。”
而且因为Zoom允许任何使用公司电子邮件地址的人查看使用相同电子邮件域名注册的所有其他用户。“company.com”,s3c可以利用这种方法窃取某公司的所有Zoom账户。
“所以如果攻击者创建一个帐户的电子邮件地址attacker@companyname.com和验证这个bug,“s3c写道,“攻击者可以查看所有邮件,用* @companyname.com缩放应用程序中创建公司联系人这意味着攻击者可以破解所有账户的公司。”
缩放是幸运的,S3C是一个好人之一,并且在缩放之前没有公开这种缺陷。但这是一个简单的缺陷,很难想象没有其他人在之前注意到这一点。
状态:固定的,感谢上帝。
缩放从屏幕中删除会议ID
缩放已发布更新窗户那macOS和Linux桌面客户端软件,以便在会议期间会议id不会显示在屏幕上。英国首相鲍里斯·约翰逊在推特上不小心显示了Zoom的会议ID,比利时内阁也犯了类似的错误。
具有缩放文件共享的“潜在的安全漏洞”
在4月初的一个“问我任何问题”的网络研讨会上,Zoom首席执行官说道埃里克斯。元说,ZOOM已经发现了“具有文件共享的潜在安全漏洞,因此我们禁用该功能。”
直到本周,Zoom会议的与会者还可以通过会议聊天功能共享文件。
状态:固定的。
中国服务器发出的Zoom加密密钥
这些AES128加密密钥是由Zoom服务器发给Zoom客户端,这一切都很好,除了公民实验室发现中国有几台Zoom服务器向Zoom用户发放密钥,即使会议的所有参与者都在北美。
由于Zoom服务器可以解密Zoom会议,中国当局可以迫使中国服务器的运营商交出数据,这意味着中国政府可能会看到你的Zoom会议。
这对英国政府来说肯定是个坏消息,因为英国政府已经就Zoom召开了至少一次内阁会议。
状态:显然是固定的。在4月3日的一篇博客文章中,Zoom首席执行官Eric S. Yuan通过表示“允许某些会议被允许在中国连接系统的情况下回应公民实验室报告,在那里他们不应该能够连接。我们自以来纠正了这一点。”
Zoom会议室存在安全漏洞
Zoom建议会议主持人设置“等候室”,以避免“Zoom爆炸”。在等候室里,参与者会一直等待,直到主人让他们进来,或者是同时让所有人进来,或者一次让一个人进来。
公民实验室说他们发现Zoom的候诊室存在严重的安全问题,并建议主持人和参与者暂时不要使用它们。公民实验室还没有透露细节,但已经告诉Zoom这个漏洞。
公民实验室在报告中说:“我们建议希望保密的Zoom用户不要使用Zoom等候室。”“相反,我们鼓励用户使用Zoom的密码功能。”
状态:固定的。在他们初次报告的后续行动.公民实验室研究人员透露,即将出席会议的可单位与会者可以从候诊室获取会议的加密密钥。
研究人员表示:“4月7日,Zoom向我们报告说,他们已经实现了服务器端修复该问题。”
Windows密码窃取
Zoom会议有边聊,与会者可以发送基于文本的消息和发布网页链接。
但据一位推特用户说@_g0dmode以及英美网络安全培训公司黑客的房子直到3月底,Zoom还没有区分常规网址和另一种远程网络链接,即“统一命名公约”(UNC)路径。这使得缩放聊天容易受到攻击.
如果一个恶意的Zoom轰炸机将UNC路径滑到他控制的远程服务器,进入Zoom会议聊天,一个不知情的参与者可能会点击它。
然后,参与者的Windows电脑将尝试连接到路径中指定的黑客远程服务器,并自动尝试使用该用户的Windows用户名和密码登录到该服务器。
黑客可以获取密码“哈希”并解密,这样他就可以访问Zoom用户的Windows账户。
状态:袁的博客说Zoom现在已经解决了这个问题。
Windows恶意软件注入
默罕默德·a . Baset安全公司Seekurity在推特上说,同样的文件路径漏洞也会让黑客在Zoom会议聊天室中插入一个远程可执行文件的UNC路径。
Baset发布的一段视频显示,如果运行Windows操作系统的Zoom用户点击它,该用户的电脑就会试图加载并运行该软件。受害者将被提示授权软件运行,这将阻止一些黑客企图,但不是全部。
状态:如果UNC文件路径问题被修复,那么这个问题也应该被修复。
iOS配置文件共享
在3月底之前,Zoom将iOS用户的资料发送到Facebook作为iPhone和iPad Zoom应用程序中“使用Facebook的”登录“功能的一部分。副新闻暴露在实践之后,Zoom表示它没有了解配置文件共享并更新iOS应用程序以解决此问题。
状态:固定的。
Mac上的恶意软件行为
我们去年夏天知道了Zoom使用类似黑客的方法来绕过正常的macOS安全防范措施.我们认为这个问题和它造成的安全漏洞已经被修复了。
但是安全研究员Felix Seele在3月30日的一系列推特中发现,Zoom在他的Mac电脑上安装了自己,没有经过通常的用户授权,这表明仍然存在一个问题。
有没有想过在没有点击安装的情况下@zoom_us macOS安装程序是如何工作的?事实证明,他们(ab)使用预安装脚本,使用捆绑的7zip手动解包应用程序,并安装到/Applications,如果当前用户在admin组(不需要root)。pic.twitter.com/qgQ1XdU11M2020年3月30日
“它们(ab)使用预安装脚本,使用捆绑的7zip手动解压缩应用程序,并将其安装到/应用程序如果当前用户在管理组(无根)中,”Seele写道。
“在没有用户的情况下安装了该应用程序,提供了他的最终同意,并且使用高度误导的提示来获得root权限。MacOS恶意软件正在使用的相同技巧。”(SEELE在更用户友好的博客文章中阐述在这里.)
Zoom创始人兼首席执行官埃里克斯。元他在推特上做出了友好的回应。
袁写道:“用Mac加入会议并不容易,这就是Zoom和其他人使用这种方法的原因。”“我很理解你的观点,我们会继续改进。”
更新:在4月2日的一条新推文中,Seele说Zoom已经发布了一个针对macOS的新版Zoom客户端,“完全删除了有问题的‘预安装’技术和虚假的密码提示。”
“我得说,我对此印象深刻。这是一个迅速而全面的反应。好的工作,@zoom_us !”Seele补充道。
Zoom刚刚发布了macOS安装程序的更新,完全删除了有问题的“预安装”技术和虚假的密码提示。我得说,这让我印象深刻。这是一个迅速而全面的反应。工作好,@zoom_us !pic.twitter.com/vau556TyAa2020年4月2日
状态:固定的。
Mac恶意软件的后门
其他人可以使用Zoom狡猾的Mac安装方法,著名的Mac黑客帕特里克·瓦尔德在3月30日的一篇博客文章中说。
沃德尔演示了本地攻击者——比如一个恶意的人或已经安装的恶意软件——如何利用Zoom以前未经授权安装的魔力来“升级特权”,并在不知道管理员密码的情况下完全控制机器。
Waterle还显示,安装在Zoom Mac客户端中的恶意脚本可以提供任何恶意软件缩放的网络摄像头和麦克风权限,这不会提示用户授权,并且可以将缩放的任何Mac安装到潜在的间谍设备中。
“这提供了恶意软件,能够录制所有缩放会议,或者只是在后台上缩放以访问麦克风和网络摄像头在任意时段,”Watchle写道。
状态:袁的博客说Zoom已经修复了这些缺陷。
其他问题
缩放削弱修复缺陷
在4月1日的一篇博客文章中,Zoom首席执行官兼创始人Eric S. Yuan承认缩放的增长痛苦并承诺定期开发ZOOM平台,同时该公司努力修复安全和隐私问题。
袁写道:“我们认识到,我们没有达到社区和我们自己的隐私和安全预期。”他解释说,Zoom是为大型企业开发的,内部的IT员工可以设置和运行该软件。
他说:“我们现在有更广泛的用户群体,他们以各种意想不到的方式使用我们的产品,给我们带来了在构思这个平台时没有预料到的挑战。”“这些新的、以消费者为主体的用例帮助我们发现了平台中不可预见的问题。有奉献精神的记者和安全研究人员也帮助识别已经存在的问题。”
袁写道,为了解决这些问题,Zoom将“立即有效地冻结功能,并将我们所有的工程资源转移到我们最大的信任、安全和隐私问题上。”
除此之外,ZOOM还将“与第三方专家和代表用户进行全面的审查,以了解并确保所有新的消费者用例的安全性。”
现在,大多数Zoom会议都需要默认密码,不过会议主持人可以关闭这一功能。密码是阻止极速爆炸最简单的方法。
4月8日,前Facebook和雅虎首席安全官亚历克斯Stamos他表示,他将与Zoom合作,以改善其安全性和隐私。Stamos现在是斯坦福大学的兼职教授,在信息安全领域受到高度重视。
Phony端到端加密
ZOOM声明会议如果每位参与者从计算机或缩放移动应用程序代表而不是通过手机调用,则会使用“端到端加密”。但在压力下拦截, Zoom的一名代表承认,Zoom对“端到端”和“端点”的定义与其他公司不同。
“当我们使用‘端到端’这个短语时,”Zoom的一位发言人告诉the Intercept,“这是指从Zoom端点到Zoom端点之间的连接被加密。”
听起来不错,但发言人澄清说,他把Zoom服务器作为终端。
每个其他公司都认为一个端点是用户设备 - 桌面,笔记本电脑,智能手机或平板电脑 - 但不是服务器。而且每个其他公司都采用“端到端加密”,表示将消息从一个端点中继到另一个端点的服务器无法解密消息。
当你从你的iPhone向另一个iPhone用户发送一条Apple Message时,苹果的服务器会帮助消息从一个地方传到另一个地方,但它们无法读取内容。
极速的情况并非如此。它可以看到会议中发生的任何事情,有时为了确保一切正常运行,它可能不得不这样做。只是不要相信它不能的暗示。
更新:在4月1日的一篇博客文章中,Zoom首席产品官欧迪加写道,“我们希望通过对我们所造成的混乱道歉来说,我们已经造成的混乱,表明缩放会议能够使用端到端加密。”
他写道:“我们认识到端到端加密的普遍定义与我们使用它的方式之间存在差异。”
GAL保证用户通过缩放客户端应用程序(但不是常规电话线,业务会议系统或,大概,浏览器接口)发送和接收的所有数据确实加密,并且Zoom服务器或员工“在它到达之前不会在任何时候解密接收客户。“
然而,Gal补充道,“Zoom目前在云上维护着这些系统的密钥管理系统”,但“实施了健壮且有效的内部控制,以防止用户在会议期间共享的任何内容被未经授权访问。”
这意味着Zoom不会自行解密用户的传输信息。但由于Zoom持有加密密钥,如果有必要,比如它有搜查令或美国国家安全函(本质上是秘密搜查令),它就可以这么做。
对于那些担心政府监听的人,盖尔写道:“Zoom从未建立过一种机制,以合法的拦截目的对现场会议进行解密,我们也没有办法在不反映在与会者名单上的情况下将我们的员工或其他人插入会议。”
他补充说,公司和其他企业将很快能够自行处理加密过程。
“今年晚些时候会有一个解决方案,允许组织利用Zoom的云基础设施,但在他们的环境中托管关键管理系统。”
状态:这是一个误导广告的问题,而不是一个实际的软件缺陷。我们希望Zoom停止错误地使用“端到端加密”这个术语,但要记住,在Zoom完全实现之前,你不会得到真正的东西和Keybase一起购买的技术.
Zoom会议录音可以在网上找到
隐私研究员帕特里克·杰克逊(Patrick Jackson)注意到,保存在Zoom电脑上的会议记录通常会有特定类型的文件名。
因此,他搜索了未受保护的云服务器,看看是否有人上传了Zoom的录音,发现了超过1.5万个未受保护的例子《华盛顿邮报》.杰克逊还发现了一些录制的Zoom会议上YouTube和Vimeo。
这不是极速的错。是否录制会议由主持人决定,Zoom让付费客户可以选择在Zoom自己的服务器上存储录音。也由主机决定是否更改记录的文件名。
如果您主持一个Zoom会议并决定记录它,那么请确保在您完成之后更改默认文件名称。
状态:老实说,这不是极速的问题。
