伴随着新冠病毒疫情的快速蔓延,迫使数百万人不得不待在家中,而Zoom成为了远程视频会议的首选。该平台用户规模也快速增长,从去年12月的1000万到3月份的2亿,再到今年4月突破3亿人。
 
而在Zoom被用户疯狂追捧的同时,各种隐私和安全隐患也备受关注。从内置的注意力追踪功能到近期的Zoomombing(搅局者可以轻易进入在 Zoom 上举行的会议并共享不适当内容,导致会议不得不终止),而且公司已经面临至少三起起诉。
 
 
外媒CNET盘点了有关于Zoom安全事件的相关新闻报道,并根据事件发生时间进行倒叙排列。如果你此前并不了解Zoom的安全问题,可以从最下面开始,一直到最新消息。随着更多问题和修复方案的出现,我们将继续更新这篇文章。
 
5月7日
 
为更大规模的部署端到端加密,Zoom在本周四的博文中宣布收购了安全消息和文件共享服务Keybase。Zoom表示,Keybase将为Zoom的90天计划提供重要贡献,以增强平台上的安全和隐私功能。Keybase联合创始人Max Krohn将领导Zoom的安全工程团队,直接向Zoom创始人兼首席执行官Eric Yuan汇报。
 
Keybase公司成立于2014年,致力于研究端到端加密技术,目前该公司一共拥有25名员工。虽然Zoom最近发布的5.0版本支持将内容加密至行业标准AES-265,但该帖子称,未来公司将为所有付费账户提供端到端的加密会议模式。在帖子中,Zoom还表示,将于5月22日公布新的加密设计的详细草案。
 
Zoom在帖子中写道:“我们随后将与民间团体、加密专家和客户举办讨论环节,分享更多细节并征求反馈意见。一旦我们评估了这些反馈意见,以便整合到最终的设计中,我们将公布我们的工程里程碑和目标,以部署到Zoom用户。”
 
针对持续的Zoomombing事件,该公司表示将通过加强会议主持人和与会者报告机制,以及使用自动工具寻找辱骂用户的证据来解决这一问题。Zoom公司表示,它不会开发任何执法部门可以用来解密会议内容的工具,也不会建立任何加密后门,以便对会议进行秘密监控。
 
4月28日
 
根据ABC News获得的一份联邦情报分析报告称,Zoom容易受到外国政府间谍机构的入侵。根据报道称,美国国土安全部的网络任务和反间谍任务中心发布的分析报告已分发给全国各地的政府和执法机构。
 
该报告称对该软件的安全更新可能没有效果,因为恶意行为者可能会利用延迟,并根据漏洞和可用的补丁开发出漏洞。对此Zoom的一位发言人认为这份报告存在严重错误信息,
 
4月23日
 
Zoomombing事件仍在持续发酵,其中还有包括虐待儿童的行为。
 
在近期的报道中,学术界和政府会议中出现了辱骂性的色情Zoomombing行为,据目击者描述,骚扰内容包括种族主义语言和儿童色情图片。
 
在周一报道的两起Zoombombing事件中,弗雷斯诺州立大学和贝克斯菲尔德学院的学生被曝出儿童色情图片。这两起事件都引起了执法部门的调查。
 
今年4月早些时候,一名Zoomombomber闯入伯克利一所高中的教室Zoom课程,在向学生们发出淫秽的尖叫声时,将自己暴露在学生面前,促使学校官员暂停了所有视频会议课程。
 
3月下旬,佐治亚州一所中学的在线课堂被爆出色情内容,4月初犹他州一所小学的课堂也是如此。4月23日,俄克拉荷马州州教育委员会的一次Zoom会议被打断,当时Zoomombombers在视频的聊天频道中充斥着种族污言秽语。
 
4月22日
 
Zoom推出安全更新
 
在周三的一篇博客文章中,Zoom表示,它将推出新的安全更新软件,重点是改进加密。该公司表示,Zoom 5.0预计将使用AES 256位加密,以加强隐私保护,并将在5月30日之前在所有账户中启用。
 
其他改进包括用户界面更新,将安全设置移至更易访问的位置,更广泛地控制你的数据通过哪些区域服务器传输,并改进了云记录密码的复杂性。
 
4月21日
 
据《华盛顿邮报》周二报道,英国议会将继续在社交疏远准则下通过使用Zoom平台举行会议。虽然投票也将在远程进行,但政府表示,由于存在故障或黑客的威胁,只有保证以压倒性同意的方式通过的立法才会在平台上推出。
 
4月20日
 
前Dropbox工程师称Zoom知道存在安全漏洞
 
据《纽约时报》报道,Zoom的合作伙伴Dropbox的前工程师表示,这两家公司都知道一个重大的安全漏洞,该漏洞允许攻击者控制了一些用户的Mac电脑几个月后,才解决了问题。
 
Dropbox向Zoom提交这个漏洞之后,后者花费了数月时间才修复这个问题。
 
4月16日
 
疫情期间广受欢迎的Zoom在过去两周内已经聘请了数十名外部安全顾问。据知情人士透露,这些人中有来自Facebook、微软和谷歌等公司的前安全和隐私专家,他们希望迅速解决有关安全漏洞的问题。
 
Facebook前首席安全官亚历克斯·斯塔莫斯(Alex Stamos)表示,Zoom此举是借鉴了微软将近20年前为恢复Windows软件形象而采取的行动。微软在2002年转向“值得信赖的计算”之前,存在多年的安全问题让Windows用户容很易受到互联网蠕虫和其他病毒的攻击,从而损害微软的声誉。
 
Zoom目前引入的安全公司包括英国安全供应商NCC Group PLC、总部位于美国纽约的Trail of Bits、位于亚利桑那州坦佩的Bishop Fox以及位于德克萨斯州奥斯汀的Praetorian Security等公司。Zoom还正在使用CrowdStrike和Queen Associates旗下安全情报机构DarkTower提供的安全情报服务。
 
4月15日
 
又有黑客在暗网出售影响Zoom Windows客户端的0 day远程代码执行漏洞利用代码,售价为50万美元。同时还附送一个Zoom macOS客户端的漏洞滥用代码。
 
这样的漏洞利用是没有固定价格的,国外漏洞交易平台Zerodium对此类漏洞利用的报价为2000到250万美元,具体价格根据受影响的软件或系统的流行程度、安全等级,以及提交的漏洞利用的质量不同而不同。
 
目前漏洞利用和源码还没有公开,熟悉0 day漏洞利用市场的相关人士介绍称,已有漏洞交易代理商业与之联系购买漏洞。漏洞交易平台Netragard创始人Adriel Desautels称出售的2个0 day漏洞一个影响macOS,另一个影响Windows系统。
 
4月14日
 
● 和Facebook、LinkedIn的诉讼
 
在加州对Facebook和LinkedIn提起新的诉讼,指控这两家公司 "窃听 "了Zoom用户的个人数据。
 
Facebook在给彭博法律社的Dan Stoller的一份声明中否认了这一指控,称:"Zoom使用Facebook SDK并没有使Facebook能够'窃听'Zoom的通话内容;SDK的设计不是为了也没有分享这些内容。这起诉讼没有任何法律依据,我们将积极进行辩护。"
 
● 付费帐号的新隐私选项
 
在周二的一篇博文中,Zoom表示,从4月18日开始,所有付费用户将可以选择使用或避免使用该公司的某些区域服务器。
 
4月13日
 
有超50万Zoom账户在“暗网”上被售卖,单价不到1美分甚至“免费赠送”。据《Business Today》网站消息,网络安全情报公司Cyble在“暗网”和黑客论坛上发现,有超过五十万个Zoom账号正在出售,内容包括邮箱、密码、个人会议链接和密钥。卖方要价仅为0.002美分/个,有的甚至完全免费,例如有290个与佛蒙特大学、科罗拉多大学、达特茅斯大学、拉斐特大学、佛罗里达大学等学院相关的帐户被免费发布出来。
 
Cyble认为,售卖者的目的不是赚钱,仅是以此提升自己在黑客社区里的“声誉”。黑客通过收集互联网已泄露的账号和密码信息,尝试批量登录Zoom,然后将成功登录的组合生成对应列表,标价出售。黑客能够得到这些信息往往是因为用户在不同平台使用了相同的账号和密码。
 
4月10日
 
五角大楼限制使用Zoom
 
根据VOA报道,美国国防部就Zoom的使用发布了新的指导意见。虽然五角大楼的新规定允许使用Zoom for Government,即该软件的付费服务层,但一位发言人告诉VOA,"国防部用户不得使用Zoom的免费或商业产品主持会议。"
 
4月9日
 
● 美参议院禁止使用
 
据英国《金融时报》周四报道,美国参议院已经“警告所有参议员不要使用该服务。” 一位知情人士说,警告指出,各办事处应为远程会议找到另一种选择方案。该人士同时还表示,警告“没有正式禁止该公司产品”。
 
● 新加波教师禁止使用
 
新加坡教育部表示,在收到有关针对远程学习的学生淫秽Zoom事件的报告后,新加坡教育部表示,已暂停教师使用Zoom的使用。亚洲新闻台报道称,目前教育部正在对事件进行调查。
 
● 德国政府警告禁止使用
 
据德国《Handelsblatt报》报道,德国外交部本周在一份通知中告诉员工,出于安全考虑,停止使用Zoom。德国外交部表示"由于对我们的IT系统整体的相关风险,我们和其他部门和工业公司一样,也决定(联邦外交部)不允许在用于业务目的的设备上使用Zoom"。
 
4月8日
 
● 第四起诉讼
 
在周二向联邦法院提起的诉讼中,Zoom股东Michael Drieu指责该公司 "数据隐私和安全措施不足",并谎称该服务是端到端的加密服务。Drieu还表示,媒体报道和公司公开承认的安全问题导致Zoom的股价暴跌。
 
● 谷歌禁止Zoom
 
据外媒报道称,考虑到安全问题,谷歌近日禁止其员工在公司提供的电脑和智能手机上使用zoom软件开展工作。
 
谷歌发言人Jose Castaneda(何塞·卡斯塔内达)日前对媒体表示,“长期以来,我们一直不允许员工使用未经批准的应用程序进行公司网络之外的工作。我们的安全团队最近通知使用Zoom桌面客户端的员工,不能再在公司电脑上运行该应用,因其不符合员工使用应用的安全标准。”
 
4月4日
 
Zoom公司CEO Eric S. Yuan于当地时间周日在接受CNN采访时表示,尽管该公司最近出现了安全问题,但其本来的意图是好的。“我们进展得太快了……我们是有一些失误。(对此)我们吸取了教训并后退了一步将重点放在隐私和安全上。”
 
Yaun在接受《华尔街日报》采访时曾表示,作为一位CEO,自己的工作表现非常糟糕,他觉得自己“有责任赢回用户的信任”。
 
在Yuan承认这一错误之前,该视频会议平台经历了动荡的几周。Zoom的使用量因新冠大流行的爆发而出现剧增。Yuan在4月1日的一篇博客文章中写道,该公司3月份的日会议参与者达到了2亿人,高于12月份的1000万。