在疫情的影响下,Zoom迎来了发展的“高光时刻”,但同时也倒下了陷入“安全和隐私”危机。目前,NASA和SpaceX已经宣布禁止使用Zoom。4月2日,Zoom创始人兼CEO袁征宣布,未来90天内,Zoom将停止功能更新,重点放在安全维护和漏洞修复上。据悉,Zoom将投入资源识别、定位和解决问题,甚至邀请第三方参与对软件的“全面审查”。据袁征介绍,目前Zoom的日活跃用户数已经达到2亿。这是平台建设之初没有预料到的规模,因此也带来了没有预料到的安全和隐私问题。的确,由于新冠肺炎疫情在全球蔓延,许多国家和地区的民众不得不选择居家办公或学习。因此,Zoom获得了巨大的流量和新用户。根据Apptopia数据,Zoom3月活跃用户较去年同期增长151%。Zoom本应处于“高光时刻”,如今却陷入“安全与隐私”的泥潭。在短短一周内,Zoom就被曝出向Facebook发送用户数据、泄露Windows登录凭证、未经用户同意通过预加载下载应用程序、没有像宣传的那样使用端到端加密等安全问题。由于这些问题,NASA和SpaceX已经禁止使用Zoom。1.在用户不知情的情况下,Zoom与Facebook共享数据。主板发现ZoomiOS应用程序正在通过“使用Facebook登录”功能向Facebook发送数据。发送的数据包括手机型号、程序打开时间、时区和城市、使用的电信运营商,甚至还有可用于广告定位的标识符。据悉,Zoom使用FacebookSDK实现的“Facebook登录”功能,主要是为用户提供便捷的平台访问方式。但在调查过程中发现,即使你不是Facebook用户,信息也会被收集。数据共享的整个过程是这样的:用户下载并打开应用程序后,Zoom将连接到Facebook的GraphAPI。而这个GraphAPI是开发者与Facebook交换数据的主要方式。Zoom表示:“FacebookSDK功能确实在收集用户数据,但收集的数据不包括用户个人信息,而是包括来自用户设备的数据。”随后,Zoom更新了iOS应用的版本,完善了Facebook登录功能。删除FacebookSDK并重置该功能后,用户仍可通过浏览器使用Facebook账号登录Zoom,但该功能需要更新至最新版本才能生效。2.Zoom客户端泄露Windows登录凭据据外媒报道,ZoomWindows客户端存在NUC路径注入漏洞,攻击者可能利用该路径窃取点击链接用户的Windows凭据。据了解,在使用Zoom发送聊天信息时,所有发送的URL都会进行转换,以便其他聊天者可以在默认浏览器中点击打开。安全研究员@_g0dmode发现Zoom客户端甚至用这个可点击的链接替换了Windows网络的UNC路径。常规URL和UNC路径(\evil.server.com\images\cat.jpg)都转换为可点击链接当用户单击UNC路径链接时,Windows会尝试使用SMB文件共享协议连接到远程站点,打开远程路径中的cat.jpg文件。默认情况下,Windows会发送用户的登录名和NTLM密码哈希值,在此阶段,有经验的攻击者可以借助Hashcat等免费工具进行逆向操作。安全研究员MatthewHickey对此进行了测试,证实不仅可以成功注入Zoom,还可以借助民用级GPU和CPU快速破解。除了窃取Windows登录凭据外,UNC注入还可以在本地计算机上启动程序,例如CMD命令提示符。16秒暴力破解一个简单的密码不过好在Windows在执行前会提示是否允许程序运行。但要真正解决这个问题,Zoom必须屏蔽一些可点击的链接,停止Windows客户端的UNC路径转换功能。3.APP“自动”安装?Zoom预装脚本引发争议3月31日,Twitter用户Felix发帖称:“ZoommacOS安装程序会在未经用户同意的情况下自动安装,并且还使用极具误导性的标题来获取用户权限。与macOS恶意软件的‘风格’一模一样。”据了解,Zoom将使用预安装脚本使用捆绑的7zip手动解压应用程序并将其安装到/Applications。随后,Zoom回应称,这种做法的目的是降低安装过程的复杂度,因为在Mac上安装Zoom并不容易,同意Felix的观点,未来会继续完善.菲利克斯不同意这种解释。他认为提高可用性不应牺牲安全性。Zoom作为一款被广泛使用的应用程序,并无恶意,但却极为不妥。Felix详细介绍了ZoommacOS预安装脚本的工作原理?首先,Zoom使用pkg文件(一种安装程序格式,类似于Windows的MSI)在macOS上分发客户端,当用户加入Zoom会议时,系统会提示用户下载并允许该软件。通常情况下,用户可以在这一步自定义并确认安装。然而,Zoom的安装程序会跳过这些步骤并请求运行“先决条件”脚本的权限,该脚本通常在实际安装之前运行,以检查软件是否与计算机兼容。需要注意的是,虽然“pre-requirement”脚本在运行前会提示用户,但提示信息是“willdetermineifthesoftwarecanbeinstalled”。一般来说,用户会点击继续,但你并不知道此时Zoom已经开始安装了。Zoom安装程序不仅执行安装前检查,而且还将整个安装作为脚本的一部分执行。更重要的是,安装程序还附带了一个捆绑版本的7zip,可以解压。如果用户是admin,脚本会将解压出来的客户端直接复制到/Applications目录下,并进行一些清理工作,完成安装;如果用户没有写入/Applications的权限,并且没有安装Zoom客户端,那么,会被复制到本地应用目录/Users//Applications;如果用户安装了Zoomin/Applications,但是没有权限更新,那么脚本会启动“zoomAutenticationTool”辅助工具(也打包在pkg文件中),该工具使用已弃用的AuthorizationExecuteWithPrivileges()系统API来显示密码提示,以便以root权限运行“runwithroot”脚本。4、所谓的端到端加密是不是“谎言”?全球疫情的发展,让不少企业不得不选择远程办公的方式。这时候,远程办公和协作工具的加密就显得尤为重要。近日,外媒报道称,Zoom在其安全白皮书中提到其支持端到端加密,但实际上并没有为所有视频会议提供这种加密方式,涉嫌误导用户。随后,Zoom发言人表示,目前无法为视频会议提供端到端的加密。但其否认了“误导用户”的说法,并表示白皮书中的“端到端”指的是Zoom与Zoom之间的连接。据了解,Zoom目前采用的是TLS加密,即Zoom服务器与用户之间的传输是加密的。而端到端加密意味着设备之间的所有通信都是加密的,因此托管服务的组织无法访问聊天内容。如果TLS加密,Zoom可以拦截和解密视频、聊天和其他数据。值得注意的是,英国首相鲍里斯·约翰逊(BorisJohnson)周二在推特上分享了一张“有史以来第一个数字内阁”的截图,显示多名官员使用Zoom进行视频会议。这也引发了关于Zoom安全性的讨论。5、安全问题频发,NASA和SpaceX宣布禁用Zoom328日,SpaceX向员工发出一封邮件,要求他们停止使用Zoom,“我们知道很多员工都在使用Zoom进行视频会议,现在请使用电子邮件、短信和电话,而不是Zoom。”据了解,SpaceX禁用Zoom是因为其存在“严重的隐私和安全问题”。美国联邦调查局(FBI)周一也发布了关于Zoom的警告,提醒用户不要举行公开会议或在网站上广泛分享链接。值得注意的是,除了SpaceX之外,该公司最大的客户之一NASA也宣布禁止员工使用Zoom。6.被针对?冒充Zoom的钓鱼网站散布“人怕出名,猪怕壮”的恶意软件。“掌管流量”的Zoom不仅自身问题频发,还被一些有意者“盯上”。最近,网络犯罪分子通过注册虚假“Zoom”域名和恶意“Zoom”可执行文件来诱骗用户下载恶意软件。根据CheckPointResearch的一份新报告,自冠状病毒大流行开始以来,已有1,700多个新“Zoom”域名注册,其中25%是在过去7天内注册的。此外,研究人员检测到“zoom-us-zoom_############.exe”和“microsoft-teams_V#mu#D_##########.exe”恶意文件,其中#代表各种数字。这种类型的恶意软件会在用户的计算机中安装InstallCorePUA,从而导致其他恶意软件的捆绑安装。当然,Zoom并不是攻击者的唯一目标。随着疫情的发展,各个国家和地区开始鼓励学生在线学习,因此在线学习平台也成为被攻击的对象。研究人员发现了一个伪装成合法GoogleClassroom的钓鱼网站,例如googloclassroom\.com和googieclassroom\.com,以诱导用户下载恶意软件。
