Zoom已经开发了九年。在冠状病毒大流行期间迫切需要易于使用的视频会议应用程序,因此,Zoom一夜之间成为数百万人的首选工具。尽管Zoom是一种高效的在线视频会议工具,但在隐私和安全方面似乎不太理想。根据网络安全专家@_g0dmode的新发现,研究人员MatthewHickey和MohamedA.Baset也证实了这一点,Windows的Zoom客户端容易受到“UNC路径注入”漏洞的攻击,该漏洞可能允许远程攻击者窃取Windows登录凭据系统用户。此攻击涉及SMBRelay技术,其中Windows系统在尝试连接和下载托管文件时自动将用户的登录用户名和NTLM密码哈希暴露给远程SMB服务器。仅当Windows的Zoom客户端支持远程UNC路径时,攻击才有可能发生,这些路径将此类潜在不安全的URL转换为个人或群聊中收件人的超链接。要窃取运行Windows的用户的登录凭据,攻击者需要做的就是通过其聊天界面向受害者发送一个精心制作的URL(即\\xxxx\abc_file),如图所示,然后等待受害者单击,只需它工作一次。需要注意的是,攻击者获取的密码并不是明文形式,而是一个弱密码,使用HashCat或RipperJohn等密码破解工具可以在几秒内轻松破解。在办公环境等共享网络中,窃取的登录详细信息可以立即重新使用,以危害其他用户或IT资源并发起进一步的攻击。除了窃取Windows凭据外,此漏洞还可以被利用来启动目标计算机上已存在的任何程序或下载其他程序,为攻击者进行社会工程活动做准备。Zoom已获悉此漏洞,但由于尚未修补,建议用户使用替代视频会议软件或在Web浏览器中使用Zoom而不是其客户端应用程序,以避免被攻击的风险。除了使用安全密码外,Windows用户还可以更改安全策略设置,限制操作系统自动将他们的NTML凭据传递到远程服务器。如前所述,这并不是过去两天Zoom发现的唯一隐私或安全问题。就在昨天,另一份报告证实,尽管Zoom向用户声称“使用端到端加密连接”,但实际上并没有使用端到端加密来保护其用户数据免遭窥探。昨天,纽约总检察长致信Zoom,要求该公司在处理敏感数据方面更加透明,并采取切实措施保护用户数据。除了提到Zoombombings事件,信中还询问Zoom应该如何处理系统中的安全漏洞,包括允许恶意第三方访问消费者网络摄像头,以及与其他类似Facebook的公司共享数据。对此,3月30日,Zoom更新了隐私政策,并回复了总检察长的来信:“我们感谢纽约州总检察长在这些问题上的参与,很高兴向她提供所要求的信息。”据了解,Zoom近期曝光的安全问题层出不穷。就在上周,Zoom在与Facebook服务器共享用户设备信息的消息曝光后更新了其iOS应用程序,引发了人们对其未能保护用户隐私的担忧。今年早些时候,Zoom还修补了其软件中的另一个隐私漏洞,该漏洞可能允许不速之客加入私人会议并远程窃听整个会议,共享私人音频、视频和文档。用户可以采取的安全防御措施1.了解使用Zoom时的隐私注意事项2.为Zoom会议添加密码在创建新的Zoom会议时,Zoom会自动启用“需要会议密码”设置并分配一个随机的6位数字密码。尽量不要取消选中此选项,因为这样做将允许任何人在未经许可的情况下访问会议。3.使用等候室功能Zoom允许主持人(创建会议的主持人)启用等候室功能,防止用户在未经主持人许可的情况下进入会议。通过打开高级设置、选中“启用等候室”设置并单击“保存”按钮,可以在创建会议期间启用此功能。4.及时更新Zoom客户端最新的Zoom更新默认启用会议密码,并增加了对扫描会议ID的人的保护。5.不要分享您的个人会议ID每个Zoom用户都分配有一个与其帐户关联的永久“个人会议ID”(PMI)。如果您将您的个人PMI提供给其他人,他们将始终能够检查是否有正在进行的会议,如果没有配置密码,他们可能会加入会议。6.禁止与会者屏幕共享为防止会议被他人劫持,请禁止除主持人以外的与会者共享屏幕。作为主持人,您可以在会议中通过单击Zoom工具栏中“共享屏幕”旁边的向上箭头,然后单击“高级共享选项”来执行此操作,如下所示。7.所有人都加入后锁定会议如果所有人都加入了会议并且没有其他人被邀请,则会议应该被锁定,这样其他人就无法加入。为此,请单击Zoom工具栏上的管理参与者按钮,然后选择参与者窗格底部的更多。然后选择“锁定会议”选项,如下所示。8.不要发布Zoom会议图片。如果您拍摄Zoom会议的照片,任何看到这张照片的人都将能够看到他们相关的会议ID,然后可以尝试进入会议。攻击者可能会利用此问题尝试通过显示的ID手动加入,从而获得未经授权的会议访问权限。9.不要发布会议的公开链接创建Zoom会议时,不要公开发布会议链接。这样做会导致像Google这样的搜索引擎为链接编制索引,并让任何搜索它们的人都可以访问它们。10.提防以Zoom为主题的恶意软件自冠状病毒爆发以来,创建恶意软件、网络钓鱼诈骗和其他与爆发相关的攻击的威胁行为者的数量迅速增加,包括伪装成Zoom客户端安装程序和广告软件安装程序的恶意软件。
