由买买提看人间百态

boards

本页内容为未名空间相应帖子的节选和存档,一周内的贴子最多显示50字,超过一周显示500字 访问原贴
Military版 - Zoom爆重大安全漏洞:数万视频被公开围观 CEO考虑开源
相关主题
老中搞的东西,你们还是少用:Zoom视频会议并非端到端加密G20视频会议上看看习川如何交锋
常委们现在都用WebEx开会了也有可能是指安全漏洞
过去一周美国人下载最多的apps假设我在美国和中国的某人想传输机密信息
发现国内不禁买买提了的早期雇员,当年也是黑砖窑出来的
阴毒阿三又一次种族屠杀华人!你包叔现在工作基本靠电话,人都见不到了
量子通信之后,中国量子计算机也获世界领先成果今天大跌的情况下, zoom没跌
我怀疑玄月的每一张自拍都是别人UA, AA, Delta, Expedia, Priceline都惨了吧
这样,我们组一个实名微信群。远程视频会议zoom公司亏大发了
相关话题的讨论汇总
话题: zoom话题: 视频话题: 袁征话题: 加密话题: 用户
进入Military版参与讨论
1 (共1页)
p**f
发帖数: 3549
1
今天你Zoom了吗?近日,疫情期间大火的视频会议软件Zoom又爆出重大安全漏洞:数以
万计私人视频被上传至公开网页,任何人都可在线围观!惊喜变惊吓!创始人袁征坦言
,如果安全问题不解决,甚至会考虑开源Zoom代码。
冠状病毒疫情期间,视频会议软件使用量激增,其中表现尤其抢眼的软件就是Zoom。
Zoom的日活跃用户从去年12月份的1000万人激增到现在的2亿人,成为了视频会议软件
中的当红炸子鸡,无法出门的欧美用户用Zoom开会、上课、做培训,探亲、访友、看医
生,甚至连办婚礼、开葬礼这样的事也被Zoom承包了。
Zoom最吸引人的就是“简单好用”,但“简单好用”的代价就是安全漏洞多,隐私问题
没办法保证。
数万隐私视频遭泄漏,源于视频命名方式?
15000个视频被公开
近日,华盛顿邮报又报道出Zoom存在的重大安全漏洞:数以万计的私人Zoom视频被上传
至公开网页,任何人都可在线围观!很惊悚有没有!
向华盛顿邮报爆料的是美国国家安全局的前研究员帕特里克·杰克逊(Patrick
Jackson),他爆料称在开放的云存储空间中一次性搜到了15000个Zoom视频。
华盛顿邮报依着这条线索看到的Zoom视频包括:一对一治疗方案;远程医疗呼叫人员最
新的培训方向,其中还有参会人员的名字和电话号码;小公司开会视频,带财务报表的
那种;小学生上网课,孩子的脸、声音和样貌细节都能看见。很多视频都包含个人可识
别信息,还有在家里进行的很多私密谈话,甚至还有美容师传授脱毛技巧的裸露视频。
命名方式单一安全性差
Zoom在视频通话时,默认状态下是不会录制视频的,但是会议主持人可以无需参加者同
意录制视频保存在Zoom服务器或任何云端、公开网站,而且,录制好的Zoom视频都是相
同的命名方式保存。
Jackson就发现了这个问题,并用免费的在线搜索引擎扫描了一下开放的云存储空间,
在默认命名规则下,一次性搜索出了15000个视频。另外,还有一些视频保存在未受保
护的Amazon存储桶中,用户无意间改成了公开访问,YouTube和Vimeo也能找到Zoom视频。
15000个视频就足以说明这不是用户的粗心大意,而是产品的设计问题。Zoom的设计师
绕过了一些视频聊天程序常用的安全保护功能,如要求用户在保存视频时使用唯一的文
件名。Zoom默认单一的命名方式是简单好操作,但也更容易受到黑客攻击。
Jackson称:“Zoom应该在提醒用户保护好视频方面做得更好,在设计上做一些调整,
例如使用一种无法预测的方式命名视频,让视频能难在公开领域找到。”
Zoom发言人随后发表了一份声明,建议用户在视频录音上传时要谨慎行事:
“Zoom会议主持人录制视频时,Zoom将通知所有参会人员,并为主持人提供一种安全可
靠的方式存储会议记录。Zoom会议视频仅按照主持人的选择保存在本地设备或Zoom云端
,如果主持人选择将会议记录上传到其他位置,我们敦促务必格外谨慎,并与参会人员
保持透明,仔细考虑会议是否包含敏感信息,符合参会人员合理期望。”
Zoom漏洞频发还涉嫌虚假宣传
分析了 Zoom 代码的安全研究人员说,Zoom 的软件依赖于一些技术,这些技术可能会
使人们的电脑暴露给黑客。Zoom的数据共享设计,使得一些用户在未经所有会议相关人
员同意的情况下可以录制谈话内容,可能会泄漏与会人员的隐私。
Zoom 的默认设置允许新用户在打电话时突然向其他用户的电脑发送文本和图片,而这
种屏幕共享功能会被“ zoombombing”随意利用。在接受《华盛顿邮报》采访时说,
Zoom表示这项功能是为其核心用户群设计的,最近改变了学校的默认设置,只允许教师
共享他们的屏幕。
前 Facebook 安全主管、现任斯坦福互联网天文台(Stanford Internet Observatory)
负责人Alex Stamos表示,Zoom 的问题包括从愚蠢的设计到严重的产品安全缺陷,其中
许多缺陷让他十分担心。
据网络安全公司 VMRay 的一位技术分析师说,Zoom 用来加速安装的代码依赖于“糟糕
的安全措施和 对用户撒谎”。Zoom 的首席执行官袁征在回应中说,该公司利用这些做
法来“平衡”用户在使用该程序之前所需的“点击次数”。
Zoom 此次曝光的一系列安全漏洞中,最主要的是没有在视频通话中使用端到端加密,
仅在部分文本信息和部分模式的音频中使用了这一加密方式,但却在视频应用中显示
Zoom is using end to end encrypted connection。
Zoom 的发言人随后表示:现阶段不可能为 Zoom 平台上的视频会议提供端到端加密。
Zoom为啥不用端到端
要了解端到端加密,首先要了解什么是信息加密。
在密码学中,加密是将明文信息改变为难以读取的密文内容,使之不可读的过程。只有
拥有解密方法的对象,经由解密过程,才能将密文还原为正常可读的内容。
而端到端加密 (End-to-end encryption,E2EE)是一个只有参与通讯的用户可以读取信
息的通信加密系统。总的来说,它可以防止潜在的窃听者——包括电信供应商、互联网
服务供应商甚至是该通讯系统的提供者——获取能够用以解密通讯的密钥。此类系统可
以防止潜在的监视或篡改,因为没有密钥的第三方难以破译系统中传输或储存的数据。
使用端到端加密的通讯提供商比如whatsapp,就无法将其客户的通讯数据提取出来,所
以这种加密方式也会给警方调查取证造成一定困扰。
无加密的情况下,A到B的任何一个环节都可以查看和修改信息;SSL加密从A到服务器,
服务器到B的信息传输都是安全的,但服务器上的信息是解密的;端到端加密A端使用用
户B的公钥加密,服务器是没有密钥的,B端用户再用私钥解密,整个传输过程都是加密
的。
1994年,NetScape公司设计了SSL协议(Secure Sockets Layer),1999年,互联网标
准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS,而TLS就是Zoom现在使用的
视频加密方式,所以用户数据还是可以被窃取的。
端到端加密这么好,为什么Zoom不用呢?
首先,端到端加密只能提高通讯内容的保密性,它不能阻止通讯被彻底中断;然后是,
端到端加密时,通讯双方的地址必须是公开的。比如Zoom帮你传递一段端到端加密的视
频,Zoom可能没法知道视频的内容,但它肯定知道收发双方的地址、收货人和发货人是
谁,而且Zoom也保证不了一定能送达。因此对于有更高保密需求的应用环境,还必须与
其他层次的加密方式相结合,才能够达到较好的效果。
立即停止开发新功能,全力补作业
3月20日,帮助用户解决了平台上的骚扰事件(或所谓的“ Zoombombing”) ,提醒用户
可以防止骚扰的办法,例如等候室、密码、静音控制和限制屏幕共享等。
3月27日,移除了iOS客户端的Facebook SDK。
3月29日,更新了隐私政策,明确声明我们不出售用户数据,我们过去从未出售过用户
数据,将来也没有打算出售用户数据。
对于教育用户,Zoom推出了一个管理员指南帮助更好地维护虚拟教室,还专门建立了一
个K-12隐私政策。
4月1日,Zoom中文公告显示,Zoom将停止所有新功能的开发,并将全部工程资源用于解
决最近的安全漏洞问题。
Zoom创立只是因为爱情,今天你Zoom了吗?
“我们已经认识到我们没有达到用户在隐私安全方面的期望。对此,我深表歉意。”
在Zoom的致歉信里,创始人兼CEO袁征重申了公司创立的初衷,听起来有为泄露事件脱
罪之嫌,但言语之间也不乏真诚。“我们设计这个产品时并没有预见到,在几个星期内
,全世界所有人都会突然在家办公,学习和社交。”
“无论是跨国公司要保持业务连贯性,地方政府要维持社区运转,学校老师要开展远程
教育,还是隔离期间想和朋友共度美好时光,我们都极其荣幸能够帮助大家保持联系。”
“我们深感责任重大。Zoom 的用户量一夜之间激增,远超预期。其中包括来自20个国
家的90,000多所学校,这些学校已经开展了远程教育。今年3月,我们每天的会议参与
人数已超2亿人,有免费也有付费。我们一直在日以继夜地工作,以确保我们所有的新
老用户可以保持联系和正常运作。”
简言之,核心思想是,Zoom所做的事业初衷是好的,对于疫情期间人与人的交流很有意
义,大家不要过分苛责我们了。
让我们回到Zoom成立之初的愿景。
Zoom的创办灵感来自创始人袁征大一时期的女朋友,那时候他们还是异地恋,两个人相
隔10几个小时的火车路程,每年只有寒暑假能够见上几面。对女友的思念让他萌生了创
办共享视频网站的念头。对爱情的坚持让他最终抱得美人归。
2018年,他在美国求职网站GlaSSDoor发布的2018年全美Top100 CEO榜单上,以99%的支
持率被评为最受欢迎CEO,甚至超过了Mark Zuckerburg和Tim Cook。2019年胡润百富榜
上,他排名第78位。今年4月即将发布的《福布斯》亿万富翁排行榜上,他也榜上有名。
袁征是个传奇人物。相比于其他科技圈大佬,他远不能算得上是天资过人。袁征出生在
山东泰安的一个采矿工程师家庭,1987年毕业于山东科技大学应用数学。1994年,他在
日本出差时听到比尔盖茨的一次演讲,从此萌生了收拾行囊,来到大洋彼岸加入互联网
大潮的想法。
赴美时,袁征普通话都有严重的口音,英语更是磕磕绊绊,当时美国海关要了他的英文
名片,上面写的头衔是顾问,却被签证官理解成了兼职承包商。两年的时间里,他一共
被拒签9次。1997年终于如愿赴美,一走就是二十载。初到美国以后,他开始边刷盘子
边投简历,后来加入一家早期的网络会议应用公司WebEx开始写代码。
2000年左右,他每天和客户打交道心情都会变得很差,客户越来越不满,工作也开始束
手束脚。2007年,WebEx被Cisco收购。
后来的故事,当上了Cisco工程副总裁的袁征带走了原公司的40多名工程师自立门户。
2011年,Zoom正式成立,一开始为组织机构提供的服务都是无偿的。
虽然犯错,但初心是造福世界
在创业邦的采访中他表示,“我年轻的时候想要理解生活是为了什么,但却找不到答案
。后来明白生活就是为了追求幸福,而为他人创造幸福,你自己的幸福才能持续。所以
我创办公司也遵循这个原则,努力让客户幸福。”
袁征的儿子在上大一,因为疫情也开始用Zoom上课。袁征在福布斯采访中说:“我告诉
我儿子,我终于明白我这么努力工作的意义了。我做这些工具就是为了让你们上网课用
的。”
初心是好的,但越是风头正紧,越容易出问题。
泄露事件爆发后,和袁征同住一个屋檐下的母亲总是担心他的身体健康。袁征每天都躲
在家中的办公室里,只睡两三个小时。
采访中他承认:“ 如果我有选择的话,我肯定会回到B2B业务上,而现在,游戏规则完
全不同了。” 袁征甚至表示,如果不能把Zoom变成世界上最安全的平台,在接下来的
几年里,他会考虑开源Zoom的代码。
此情此景有些似曾相识。Facebook爆出用户数据泄露事故以后,袁征最敬佩的企业家小
扎表示,“脸书是我创办的,直到最后一天,我都会对平台上发生的事情负责。”
g***n
发帖数: 14250
2
肯定是为了降低运算量偷工减料了。
或者是要避开 256bit 加密的出口限制。。。
这些算法都是现成的,他们不可能不懂
不过俺只用来上网课,越简单越快越好,还真不在乎被围观
S*E
发帖数: 3662
3
不懂这个文章的逻辑。
与会者录制视频上传到公开媒体怎么能说是zoom的安全漏洞?
r****1
发帖数: 1
4
update之前参加个会议连密码都不要


【在 S*E 的大作中提到】
: 不懂这个文章的逻辑。
: 与会者录制视频上传到公开媒体怎么能说是zoom的安全漏洞?

S*E
发帖数: 3662
5
会议ID不就是会议密码吗?其实把位数加长就行了。

【在 r****1 的大作中提到】
: update之前参加个会议连密码都不要
: 、

m*****e
发帖数: 10963
6
这算个鸡吧的Zoom的安全漏洞?
还“重大安全漏洞”?!
草!
m*****n
发帖数: 3575
7
端到端当然不可能。
就连抗D都抗不了,脑子被驴踢了才讲端到端。
B*Q
发帖数: 25729
8
政府和公司不应该用这个
小朋友上网课无所谓
x********u
发帖数: 1061
9
这算个鸡巴安全漏洞,是用户录制以后没有保管好,关ZOOM什么事?
C**********e
发帖数: 23303
10
这属于自己开车到沟里怪车不好
n*****8
发帖数: 19630
11
你没用过吧,只有会议发起人允许,有URL的才能加入会议。密码不密码其实无所谓。
:)


: update之前参加个会议连密码都不要

: 、



【在 r****1 的大作中提到】
: update之前参加个会议连密码都不要
: 、

t*******t
发帖数: 1067
12
不需要URL,只要知道会议ID,密码(如果有设置的话)就可以进入。我现在上课就是
告诉学生会议ID,然后学生就进来了,根本不需要是我的学生。不过,学校上课没啥问
题。公司,或者其他一些有保密要求的还是小心些。

【在 n*****8 的大作中提到】
: 你没用过吧,只有会议发起人允许,有URL的才能加入会议。密码不密码其实无所谓。
: :)
:
:
: update之前参加个会议连密码都不要
:
: 、
:

n*****8
发帖数: 19630
13
一样的,会议ID也要host approve才能加入。
:)


: 不需要URL,只要知道会议ID,密码(如果有设置的话)就可以进入。我现在上
课就是

: 告诉学生会议ID,然后学生就进来了,根本不需要是我的学生。不过,学校上课
没啥问

: 题。公司,或者其他一些有保密要求的还是小心些。



【在 t*******t 的大作中提到】
: 不需要URL,只要知道会议ID,密码(如果有设置的话)就可以进入。我现在上课就是
: 告诉学生会议ID,然后学生就进来了,根本不需要是我的学生。不过,学校上课没啥问
: 题。公司,或者其他一些有保密要求的还是小心些。

1 (共1页)
进入Military版参与讨论
相关主题
黄色网站应该是最大的受益者,他们是上市公司吗?阴毒阿三又一次种族屠杀华人!
zoom 比WebEx好在什么地方量子通信之后,中国量子计算机也获世界领先成果
腾讯会议和zoom谁抄谁的?界面基本上一样我怀疑玄月的每一张自拍都是别人
测试Zoom是否有中国后门最简单了这样,我们组一个实名微信群。
老中搞的东西,你们还是少用:Zoom视频会议并非端到端加密G20视频会议上看看习川如何交锋
常委们现在都用WebEx开会了也有可能是指安全漏洞
过去一周美国人下载最多的apps假设我在美国和中国的某人想传输机密信息
发现国内不禁买买提了的早期雇员,当年也是黑砖窑出来的
相关话题的讨论汇总
话题: zoom话题: 视频话题: 袁征话题: 加密话题: 用户