隨著 COVID-19 疫情在全球蔓延,遠程辦公需求愈發增加,主打多人視頻會議的 Zoom 公司受到了越來越多的關注,不僅全球用戶數量激增,而且市值逆勢上揚,較去年 IPO 翻了兩倍,一時間風頭無兩。
可是人紅是非多,Zoom 的確吸引了大量用戶,但同時也吸引了網絡安全專家和媒體的目光,旗下産品幾乎是被放在顯微鏡下觀察,成立 9 年以來從未有過。
結果就是近半個月以來,這款視頻會議軟件接二連三地被爆出安全和隱私漏洞,遭到 SpaceX 和 NASA 內部禁用,甚至連美國聯邦調查局(FBI)也發出警告,提醒用戶使用 Zoom 時注意網絡安全問題,不要在社交媒體上廣泛分享會議鏈接,以防機密信息被黑客獲取。
南加州大學校長 Carol L. Folt 專門發表公開信譴責這種行爲,“我對學生和教師不得不親眼目睹這種卑劣的行爲感到非常難過。”
在缺乏有效監管,而且很多人都閑在家裏極度無聊的情況下,模仿這種行爲的風氣愈演愈烈,一度有人在某些論壇上傳授如何制造“Zoom炸彈”。
好多人還會沆韰一氣,在社交平台上召集戰友,有針對性地聯手破壞一場會議。雲會議本身的機制導致人們很難追蹤他們,更別提懲罰他們。
必須強調的是,不懷好意的惡搞者是罪魁禍首,但 Zoom 軟件面臨的輿論譴責並非無理。
由于 Zoom 會議 ID 的規律性(9-11位數字),一名網絡安全專家已經編寫出程序,可以自動掃描未經加密的會議,一小時就能搜到 100 個左右。
圖 | FBI發出警告,“Zoom炸彈”入侵視頻會議的事故數量激增(來源:FBI)
爲了進一步打擊“Zoom炸彈”,美國司法部下屬的密歇根州東區檢察官辦公室發表聲明稱,非法入侵視頻會議的人可能會被指控犯有州或聯邦罪行,任何受到騷擾的人都可以向 FBI 舉報。
“你覺得Zoom炸彈很好玩?讓我們走著瞧,看看你被捕了之後還覺得它好玩嗎?”州檢察官 Matthew Schneider 直言不諱。
端到端加密危機
退一步講,在“Zoom炸彈”事故中,Zoom 出現設計邏輯漏洞情有可原。畢竟疫情發酵之前,其目標群體是企業內部員工,類似“無需允許就可以共享屏幕”的産品邏輯,基于會議參與者都是受信賴的前提考慮也說得過去,並非觸及網絡安全的根本問題。然而它接下來被曝光的安全問題,則將其面臨的考驗提升了一個新高度。
首先是 Zoom 宣稱其視頻經過端到端加密,這被廣泛認爲是最私密的互聯網通信方式,能有效保護用戶的通信內容不被第三方(包括 Zoom 自己)接觸到。
但據 The Intercept 報道,實際上 Zoom 僅在部分文本信息和部分模式的音頻中使用了端到端加密,而在至關重要的視頻和電話通信方面則並未使用這一加密方式。
事實上,Zoom 曾在一份官方文件中承諾,將使用端到端方式對會議內容進行加密,甚至是在加密模式下使用該應用進行視頻會議時,界面上方還有“正在使用端到端加密” 的字樣。
但被問及視頻會議是否在實際上通過端到端加密時,Zoom 的發言人表示:現階段,不可能爲 Zoom 平台上的視頻會議啓用端到端加密。
圖 | Zoom官網稱鏈接和數據分別經過TLS加密和AES-256加密(來源:Zoom)
Zoom 發言人解釋道,公司在文件中提到的“端到端” 指的是不同的 Zoom 端點之間的加密。這種說法是將 Zoom 的服務器視作是一個端點,這種做法和以往的常規理解並不相同。
約翰 · 霍普金斯大學的密碼學家和計算機科學教授 Matthew Green 指出,多人參與的在線視頻本身是很難進行端到端加密的,這是因爲平台需要在會議過程中識別哪個用戶正在通話,並將這名用戶的高分辨率視頻流分發給其他參會者,而對于其他的未講話的參與者,平台只會提供低分辨率的視頻流。
“如果都是端到端加密,你需要更多額外的步驟。” Matthew Green 表示,“這是可行的,但並不容易。”他指出,蘋果在自家的視頻通話軟件 Facetime 上就使用了端到端加密。對于這種疑似欺瞞行爲,他表示,Zoom 在端到端加密的解釋上有點模糊。
泄露系統登陸憑據
除了備受爭議的加密手段,Zoom 還被多個信息安全專家點名,稱其 Windows 和 Mac 版軟件均存在暴露用戶登錄憑據的風險。
以 Windows 版本爲例,Zoom 的聊天系統會自動將 URL 地址轉換爲可以點擊的鏈接,以便其他用戶導航到對應網站。比如發送 google.com 文本,就會以鏈接的形式發出。
但是 Zoom 還會將 Windows 系統的 UNC 路徑同樣轉換爲鏈接。UNC 路徑通常被用于訪問網絡路徑、設備或文件,比如連接局域網內的打印機。
圖 | Zoom公司CEO袁征(來源:路透社/Carlo Allegri)
一些用戶還發現,Zoom 會議管理者可以獲得的監管信息非常多,包括與會者的 Zoom 窗口是否活躍,短時間內是否開啓了其他頁面,以及他們的 IP 地址、設備信息和所在地等等。這讓人們開始擔憂自己的隱私是否過分暴露。
紐約總檢察長 Letitia James 最近也向 Zoom 寫信,要求公司提供保護數據隱私和安全的詳細資料,稱其“解決安全漏洞的速度一直很慢”,擔心惡意第三方能夠秘密訪問用戶的網絡攝像頭。
除此之外,在地緣政治角力的大環境下,Zoom 創始人袁征和公司研發團隊的中國背景也被放在聚光燈下審視。
加拿大多倫多大學 Citizen Lab 的研究人員在 4 月 3 日披露,Zoom 軟件偶爾會將包含加密密鑰的數據發往中國服務器,即使用戶身在北美。
他們多次測試後發現,該軟件使用的 AES-128/256 密鑰足夠有效,但使用美國還是中國的密鑰服務器似乎沒有規律。