每次用 Zoom 開會輸入會議碼就可以了,筆者一直很疑惑,如果不慎輸錯了是不是就進入別人的會議了?關(guān)鍵是 Zoom 可以匿名,是不是開會的人也不清楚你是誰?就在 4 月 5 日,Zoom 爆重大安全漏洞:數(shù)以萬計私人視頻被上傳至公開網(wǎng)頁,任何人都可圍觀。加拿大多倫多大學公民實驗室的研究人員對軟件進行了逆向工程,發(fā)現(xiàn)該公司在加密方案上有虛假宣傳。
Zoom 稱其會議使用 AES-256 加密,但實際上只在 ECB 模式下使用了簡單的 AES-128 密鑰。Zoom 還聲稱使用端對端加密,但事實上距離真正的端對端加密還比較遙遠,該公司對端對端加密的定義與通常的定義有差距。創(chuàng)始人袁征坦言,如果安全問題不解決,甚至考慮開源 Zoom 代碼。
據(jù)了解,Zoom 在視頻通話時,默認狀態(tài)下是不會錄制視頻的,但是會議主持人可以無需參加者同意錄制視頻保存在 Zoom 服務器或任何云端、公開網(wǎng)站,而且,錄制好的 Zoom 視頻都是相同的命名方式保存。
研究人員用免費的在線搜索引擎掃描了一下開放的云存儲空間,在默認命名規(guī)則下,一次性搜索出了 15000 個視頻。另外,還有一些視頻保存在未受保護的 Amazon 存儲桶中,用戶無意間改成了公開訪問,YouTube 和 Vimeo 也能找到 Zoom 視頻。
其實這不是 Zoom 第一爆出安全漏洞,早在 2019 年,研究人員喬納森·萊特舒赫按照“零日方法”規(guī)則披露了 Zoom 應用的一個嚴重安全漏洞。在該漏洞中,為改善用戶體驗而安裝的 Web 服務器會使系統(tǒng)面臨惡意攻擊,網(wǎng)絡(luò)攝像頭可以激活。如果你是數(shù)百萬 Zoom 視頻會議用戶中的一員,并且在?Mac?上安裝了這款應用程序,那么網(wǎng)系統(tǒng)會建議你檢查設(shè)置,以確保默認情況下禁用攝像頭。
而這次是直接將視頻公布于眾,如果競爭對手想要知道某家公司的秘密,說不定還可以在網(wǎng)上找到他們公司的視頻會議內(nèi)容,連雇傭黑客的錢都省下了,想來真是可笑又可怕。