加入星計(jì)劃,您可以享受以下權(quán)益:

  • 創(chuàng)作內(nèi)容快速變現(xiàn)
  • 行業(yè)影響力擴(kuò)散
  • 作品版權(quán)保護(hù)
  • 300W+ 專業(yè)用戶
  • 1.5W+ 優(yōu)質(zhì)創(chuàng)作者
  • 5000+ 長期合作伙伴
立即加入
  • 正文
  • 相關(guān)推薦
  • 電子產(chǎn)業(yè)圖譜
申請入駐 產(chǎn)業(yè)圖譜

Zoom再爆重大安全漏洞,競爭對手的“機(jī)密”都被送上了云端

2020/04/07
101
閱讀需 3 分鐘
加入交流群
掃碼加入
獲取工程師必備禮包
參與熱點(diǎn)資訊討論

每次用 Zoom 開會輸入會議碼就可以了,筆者一直很疑惑,如果不慎輸錯了是不是就進(jìn)入別人的會議了?關(guān)鍵是 Zoom 可以匿名,是不是開會的人也不清楚你是誰?就在 4 月 5 日,Zoom 爆重大安全漏洞:數(shù)以萬計(jì)私人視頻被上傳至公開網(wǎng)頁,任何人都可圍觀。加拿大多倫多大學(xué)公民實(shí)驗(yàn)室的研究人員對軟件進(jìn)行了逆向工程,發(fā)現(xiàn)該公司在加密方案上有虛假宣傳。

Zoom 稱其會議使用 AES-256 加密,但實(shí)際上只在 ECB 模式下使用了簡單的 AES-128 密鑰。Zoom 還聲稱使用端對端加密,但事實(shí)上距離真正的端對端加密還比較遙遠(yuǎn),該公司對端對端加密的定義與通常的定義有差距。創(chuàng)始人袁征坦言,如果安全問題不解決,甚至考慮開源 Zoom 代碼。

據(jù)了解,Zoom 在視頻通話時(shí),默認(rèn)狀態(tài)下是不會錄制視頻的,但是會議主持人可以無需參加者同意錄制視頻保存在 Zoom 服務(wù)器或任何云端、公開網(wǎng)站,而且,錄制好的 Zoom 視頻都是相同的命名方式保存。

研究人員用免費(fèi)的在線搜索引擎掃描了一下開放的云存儲空間,在默認(rèn)命名規(guī)則下,一次性搜索出了 15000 個(gè)視頻。另外,還有一些視頻保存在未受保護(hù)的 Amazon 存儲桶中,用戶無意間改成了公開訪問,YouTube 和 Vimeo 也能找到 Zoom 視頻。

其實(shí)這不是 Zoom 第一爆出安全漏洞,早在 2019 年,研究人員喬納森·萊特舒赫按照“零日方法”規(guī)則披露了 Zoom 應(yīng)用的一個(gè)嚴(yán)重安全漏洞。在該漏洞中,為改善用戶體驗(yàn)而安裝的 Web 服務(wù)器會使系統(tǒng)面臨惡意攻擊,網(wǎng)絡(luò)攝像頭可以激活。如果你是數(shù)百萬 Zoom 視頻會議用戶中的一員,并且在?Mac?上安裝了這款應(yīng)用程序,那么網(wǎng)系統(tǒng)會建議你檢查設(shè)置,以確保默認(rèn)情況下禁用攝像頭。

而這次是直接將視頻公布于眾,如果競爭對手想要知道某家公司的秘密,說不定還可以在網(wǎng)上找到他們公司的視頻會議內(nèi)容,連雇傭黑客的錢都省下了,想來真是可笑又可怕。

相關(guān)推薦

電子產(chǎn)業(yè)圖譜