近日,全球知名科技媒体、公司和机构(Wired、Intercept、Motherboard、Krebs、CitizenLab、Tesla、NASA等)集体谴责Zoom的安全和隐私问题。“中国威胁论”、“地缘政治技术”、“Zoom与抖音、华为、大疆一起被盯上”等言论泛滥成灾,甚至掩盖了对Zoom事件的实质性、专业性讨论。下面,我们就Zoom事件的关键事实、关键问题和权威专家观点进行简要梳理,供读者自行解读分析。在开始讨论之前,让我们先列几个基本事实作为开胃菜:Zoom以良好的态度和速度处理和纠正了安全和隐私问题,迄今为止非常坦诚和高效。Zoom的安全性足以满足大多数普通用户和非关键任务团队协作的需要。普通用户无需被Zoom上大量的负面报道所迷惑。目前Zoom上的“安全风暴”更多是专业领域的讨论。作为一家纯粹的美国公司,所谓爱国话题只是因为Zoom的创始人是土生土长的山东人,而Zoom本身的成长也与国内庞大的低成本高效率的开发团队和行业用户有关是密不可分的。事实上,被思科收购的WebEx的成功,也离不开中国程序员。这不是Zoom的“原罪”。谈个事实吧,先来看看Zoom这只“全球第一抗疫潜力股”为何会在近期“惨遭灭顶之灾”。Zoom的网络安全和隐私问题真的有那么严重吗?密码学大师施奈尔将Zoom的问题分为两大类:三大类:糟糕的隐私做法;不良的安全措施;错误的用户配置。下面,我们就行业专家和媒体抱怨最多、用户最关心的隐私和安全问题进行梳理:1.不良隐私做法产品功能侵犯用户隐私。据安全牛此前报道,Zoom客户端在使用过程中有很多需要注意的“小功能”。比如老板可以知道你是否在专心开会,有没有把窗口最小化,敷衍了事,甚至会议纪要和用户之间聊天的短信访问权限也缺乏透明度。在他们不知情的情况下与Facebook和Google等怪物共享用户数据。3月26日,《Motherboard》发表文章指出,只要在iOS系统上下载或打开ZoomApp,Zoom就会通过FacebookSDK路径将用户隐私信息传输给Facebook,即使是非Facebook用户。Zoom秘密显示人们LinkedIn个人资料中的数据,允许一些会议参与者互相窥探。2.糟糕的安全实践(1)糟糕的安全设计——ZoomBombing。会议ID很容易被猜到,加入在线会议不需要进一步的身份验证。任何人都可以通过穿越或猜测闯入在线会议,分享色情视频或令人反感的内容。COVID-19期间,全球大量用户遭到ZoomBombing攻击,其中不乏中小学在线课程。影响极其恶劣。Zoom产品的“安全设计”本身就有不可推卸的责任。(2)夸大产品安全功能(端到端加密)。在网站和营销材料上使用“端到端加密”一词,而实际上(如果不是逻辑上)并非如此,Zoom既不提供严格意义上的端到端加密,也没有夸大其加密强度(加拿大公民实验室分析发现,Zoom声称的AES-256加密并不存在,所有参与者都使用单一的AES-128密钥以ECB模式加密音频和视频),这会给用户带来不必要的安全感。事实上,Zoom最大的问题不在于它没有使用端到端加密。要知道,苹果花了数年时间才实现FaceTime端到端加密(限制32人),而谷歌的企业级HangoutsMeet平台甚至不提供端到端加密。加密,而每次会议最多可容纳250人。Zoom的问题是不诚实!目前就Zoom的加密问题发声的密码学家都在强调,Zoom的集中式密钥管理系统和不透明密钥生成是该公司过去的端到端加密声明的一部分,也是其目前混淆传输的最大问题(专家们没有掌握了在中国设置关键服务器的问题,所以那些想把这个问题政治化的人只敢在娱乐媒体平台上混淆视听)。事实上,不仅是Zoom,大多数多方视频会议应用都很难做到真正的端到端,只是没有玩文字游戏,没有忽悠用户。(3)非受迫性错误:摄像头后门和“中文服务器”。施耐尔指出,这并不是Zoom第一次在安全问题上胡乱发挥。去年,一名研究人员在MacZoomClient中发现了一个漏洞,允许任何恶意网站在未经许可的情况下启用摄像头。这似乎是一个经过深思熟虑的设计选择:Zoom将其服务设计为绕过浏览器安全设置,并在用户不知情或未同意的情况下远程启用用户的网络摄像头(EPIC向FTC提出投诉)。Zoom去年修补了该漏洞。另外,对于北美用户会话加密密钥违规需要经过中国服务器的问题,Zoom已经确认并第一时间完成整改。Zoom指出,这是北美服务器在疫情期间压力过大时“不小心”进入白名单。在中国错误地配置了两个数据中心。施耐尔指出,从Zoom近期曝光的各种安全问题来看,诸如安全决策不当、草率编码错误和随机软件漏洞等问题还有很多。(4)低级错误:系统登录凭证泄露漏洞(UNC注入攻击)。Windows的Zoom应用程序(Mac系统存在类似问题)会自动将通用命名字符串UNC(例如\\attacker.example.com/C$)转换为可点击的链接(很多软件会区分URL和UNC,后者不应转换为可点击的链接,而应以纯文本形式发送)。如果目标点击恶意UNC链接,Zoom会将Windows用户名和相应的NTLM哈希发送到链接中包含的地址,从而暴露系统登录凭据。产品存在安全漏洞很正常,但低于一定标准的漏洞会暴露初创公司安全能力和安全意识的不足,对品牌的伤害极大!Zoom安全风暴的三则爆料虽然Zoom是一家纯粹的美国科技初创公司,但Zoom在过去一周遭遇的“安全风暴”足以引起中国科技企业的关注。在数字化供应链全球化的今天(我们尽量不把经济和政治的话题混为一谈),即使你不是所谓的“出海”企业,也应该清醒地思考以下问题:1、他们是否存在基因缺陷?无法绕过隐私和安全陷阱?为什么我们的一些科技公司总是在隐私保护的坑里翻车?去年年底,小米生态链公司Wyze泄露了北美240万用户的数据(也与数据被传回中国服务器的指控有关),不久前,40多个应用程序猎豹移动被谷歌下架,微盟删库跑路……这些都是过去的六个月。一个手头沾满鲜血的“成功创业”案例。这些公司真的重视安全和隐私吗?是否有CPO(首席隐私官)?有年薪千万的CISO吗?是否有足够的网络安全预算和人才?是否有完善的风险管理、风险控制和安全运营架构??是否有基于安全的顶层设计、流程设计、产品设计的“安全设计”思路?董事会是否了解公司的安全状况、安全威胁和安全策略?这些公司有没有考虑过,因为他们在国内很有名?《“出海”的安全隐私陋习,给后来全球市场优秀科技公司的品牌形象挖了很多坑?2、网络安全是生命,网络安全是生产力,网络安全是创新,不知道有多少企业真正理解这句话,笔者在国内一家融资百亿的医药研发公司看到的网络安全问题,比“新冠无症状患者”还要让人心寒在这个充满高度不确定性的时代,唯一可以确定的是:如果没有安全,其他一切都可能随时归零,无论你曾经多么“敏捷”、“颠覆”,再怎么高大上3.开源不是扔锅的,也不是盾牌,也不是救星确实是leade的一个宝库许多科技公司的rs。每当他们面临安全和隐私问题以及(海外)监管困难时,他们都不会正视问题。反省策略寻求积极突破,却选择以开源为挡箭牌。这个想法是建立在公众多年来形成的一个错误常识上:开源更安全(如果非要加两个字,那就是极致)。2019年开源软件安全漏洞数量增长50%来源:WhiteSource2020年开源软件安全调查报告事实上,近年来开源的安全问题已经非常严重。供应链攻击”的重要目标。因此,那些批评Zoom的安全专家提出的分布式、免费、开源的Zoom替代方案——Jitsi,这很可能是一个更大的坑,企业用户不要盲目入坑,抛开不干净的安全不管问题如何(但相比Zoom的现状,它确实有优势),开源解决方案的可用性和可靠性,尤其是作为视频会议产品,仍然存在很大问题。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
