Zoom再爆重大安全漏洞，競(jìng)爭(zhēng)對(duì)手的“機(jī)密”都被送上了云端

每次用 Zoom 開會(huì)輸入會(huì)議碼就可以了，筆者一直很疑惑，如果不慎輸錯(cuò)了是不是就進(jìn)入別人的會(huì)議了？關(guān)鍵是 Zoom 可以匿名，是不是開會(huì)的人也不清楚你是誰(shuí)？就在 4 月 5 日，Zoom 爆重大安全漏洞：數(shù)以萬(wàn)計(jì)私人視頻被上傳至公開網(wǎng)頁(yè)，任何人都可圍觀。加拿大多倫多大學(xué)公民實(shí)驗(yàn)室的研究人員對(duì)軟件進(jìn)行了逆向工程，發(fā)現(xiàn)該公司在加密方案上有虛假宣傳。

Zoom 稱其會(huì)議使用 AES-256 加密，但實(shí)際上只在 ECB 模式下使用了簡(jiǎn)單的 AES-128 密鑰。Zoom 還聲稱使用端對(duì)端加密，但事實(shí)上距離真正的端對(duì)端加密還比較遙遠(yuǎn)，該公司對(duì)端對(duì)端加密的定義與通常的定義有差距。創(chuàng)始人袁征坦言，如果安全問題不解決，甚至考慮開源 Zoom 代碼。

據(jù)了解，Zoom 在視頻通話時(shí)，默認(rèn)狀態(tài)下是不會(huì)錄制視頻的，但是會(huì)議主持人可以無(wú)需參加者同意錄制視頻保存在 Zoom 服務(wù)器或任何云端、公開網(wǎng)站，而且，錄制好的 Zoom 視頻都是相同的命名方式保存。

研究人員用免費(fèi)的在線搜索引擎掃描了一下開放的云存儲(chǔ)空間，在默認(rèn)命名規(guī)則下，一次性搜索出了 15000 個(gè)視頻。另外，還有一些視頻保存在未受保護(hù)的 Amazon 存儲(chǔ)桶中，用戶無(wú)意間改成了公開訪問，YouTube 和 Vimeo 也能找到 Zoom 視頻。

其實(shí)這不是 Zoom 第一爆出安全漏洞，早在 2019 年，研究人員喬納森·萊特舒赫按照“零日方法”規(guī)則披露了 Zoom 應(yīng)用的一個(gè)嚴(yán)重安全漏洞。在該漏洞中，為改善用戶體驗(yàn)而安裝的 Web 服務(wù)器會(huì)使系統(tǒng)面臨惡意攻擊，網(wǎng)絡(luò)攝像頭可以激活。如果你是數(shù)百萬(wàn) Zoom 視頻會(huì)議用戶中的一員，并且在?Mac?上安裝了這款應(yīng)用程序，那么網(wǎng)系統(tǒng)會(huì)建議你檢查設(shè)置，以確保默認(rèn)情況下禁用攝像頭。

而這次是直接將視頻公布于眾，如果競(jìng)爭(zhēng)對(duì)手想要知道某家公司的秘密，說(shuō)不定還可以在網(wǎng)上找到他們公司的視頻會(huì)議內(nèi)容，連雇傭黑客的錢都省下了，想來(lái)真是可笑又可怕。