网站首页 > 安全时事

Zoom再爆重大安全漏洞,竞争对手的“机密”都被送上了云端

2020-4-7 9:38:49 次浏览

每次用 Zoom开会输入会议码就可以了,笔者一直很疑惑,如果不慎输错了是不是就进入别人的会议了?关键是 Zoom 可以匿名,是不是开会的人也不清楚你是谁?就在 4 月 5 日,Zoom 爆重大安全漏洞:数以万计私人视频被上传至公开网页,任何人都可围观。加拿大多伦多大学公民实验室的研究人员对软件进行了逆向工程,发现该公司在加密方案上有虚假宣传。

Zoom 称其会议使用 AES-256 加密,但实际上只在 ECB 模式下使用了简单的 AES-128 密钥。Zoom 还声称使用端对端加密,但事实上距离真正的端对端加密还比较遥远,该公司对端对端加密的定义与通常的定义有差距。创始人袁征坦言,如果安全问题不解决,甚至考虑开源 Zoom 代码。

据了解,Zoom 在视频通话时,默认状态下是不会录制视频的,但是会议主持人可以无需参加者同意录制视频保存在 Zoom 服务器或任何云端、公开网站,而且,录制好的 Zoom 视频都是相同的命名方式保存。

Zoom再爆重大安全漏洞,竞争对手的“机密”都被送上了云端

研究人员用免费的在线搜索引擎扫描了一下开放的云存储空间,在默认命名规则下,一次性搜索出了 15000 个视频。另外,还有一些视频保存在未受保护的 Amazon 存储桶中,用户无意间改成了公开访问,YouTube 和 Vimeo 也能找到 Zoom 视频。

其实这不是 Zoom 第一爆出安全漏洞,早在 2019 年,研究人员乔纳森·莱特舒赫按照“零日方法”规则披露了 Zoom 应用的一个严重安全漏洞。在该漏洞中,为改善用户体验而安装的 Web 服务器会使系统面临恶意攻击,网络摄像头可以激活。如果你是数百万 Zoom 视频会议用户中的一员,并且在 Mac 上安装了这款应用程序,那么网系统会建议你检查设置,以确保默认情况下禁用摄像头。

而这次是直接将视频公布于众,如果竞争对手想要知道某家公司的秘密,说不定还可以在网上找到他们公司的视频会议内容,连雇佣黑客的钱都省下了,想来真是可笑又可怕。