Zoom视频聊天应用程序中发现的所有安全问题
Zoom迅速成为视频会议应用程序的首选:平台上的每日会议参与者从12月的1000万人激增到3月的2亿人。 随着这种流行,它的隐私风险扩大到更多的人。 从内置的注意力跟踪功能到最近在“Zoombing”(未被邀请的与会者闯入并扰乱会议)的上升趋势,Zoom的安全实践一直引起了更多的关注,还有三起针对该公司的诉讼。
这是我们所知道的关于变焦传奇的一切,当它发生的时候。 如果你不熟悉Zoom的安全问题,你可以从底部开始,用你的方式找到最新的信息。 随着更多的问题和解决办法浮出水面,我们将继续更新这个故事。
阅读更多:使用缩放工作? 以下是要注意的隐私风险
学区开始禁止教师在爆发期间使用Zoom远程教学,理由是视频会议应用程序周围的安全和隐私问题。 据Chalkbeat报道,纽约教育部敦促学校“尽快”改用微软的团队。
网络安全公司Sixgill透露,它在一个流行的黑暗网络论坛上发现了一名演员,他发布了一个链接,链接到352个受损的Zoom帐户。 Sixgill告诉雅虎财务公司,这些链接包括电子邮件地址、密码、会议ID、主机密钥和名称以及缩放帐户的类型。 大多数是个人的,但不是全部。
Sixgill对雅虎财经说:“其中一家是美国的一家主要医疗机构,另外七家是各种教育机构,还有一家是小企业。
阅读更多:变焦:它是什么,你如何防止它
佐姆对安全问题的反应转向华盛顿特区。 该公司告诉Politico,它希望扩大在华盛顿的游说活动,并聘请了美国总统乔治·W·布什(GeorgeW.Bush)领导下的前商业助理部长布鲁斯·梅尔曼(Bruce Mehlman)负责技术政策。
在一封公开信中,电子隐私信息中心敦促联邦贸易委员会调查Zoom并发布视频会议平台的隐私准则。
最近,康涅狄格州民主党参议员理查德·布卢门塔尔(Richard Blumenthal)以带头立法而闻名,批评人士称这可能会削弱现代加密标准,他呼吁联邦贸易委员会调查Zoom说的“安全失灵和侵犯隐私的模式”。
参议员布卢门塔尔呼吁联邦贸易委员会对佐姆最近的隐私和安全问题进行调查pic.twitter.com/xuayLVMja2
加州的Zoom被提起了三级诉讼,理由是研究人员提出的三个最重要的安全问题:Face book数据共享,该公司公认的不完全的端到端加密,以及允许恶意参与者访问用户网络摄像头的漏洞。
针对@yaelwrites@micahflee@theinterce pt3)提出的“端到端加密”广告问题,@josephfcox@主板发现了Face book数据共享问题,并就此提起了第三类诉讼。
阅读更多:10个免费缩放视频聊天替代应用程序
在一份声明中,Zoom承认,一些视频通话是“错误的”通过两个中国白名单服务器,而不应该是。 它说,某些会议“被允许连接到中国的系统,在那里他们不应该能够连接。”
“作为首席执行官,我真的搞砸了,我们需要赢得他们的信任。 Zoom首席执行官埃里克·袁在接受《华尔街日报》长时间采访时说:“这种事情不应该发生。
在调查对公司声誉的损害时,袁描述了Zoom如何推动扩张,以适应中国COVID-19爆发初期的劳动力变化。
华盛顿邮报的一项调查发现,数千张Zoom视频通话的录音没有保护,可以在公开的网络上查看。 该报发现,许多未受保护的电话包括讨论个人可识别的信息,如私人治疗、远程保健培训电话、讨论私营公司财务报表的小企业会议以及暴露学生信息的小学课程。
来自CNET和《纽约时报》的报道显示,包括Twitter和Instagram在内的社交媒体平台正被匿名攻击者用作组织“Zoomraids”的空间,这是一个术语,用于协调大规模变焦炸弹,入侵者骚扰和虐待私人会议与会者。 在Zoomraid期间报告的虐待包括使用种族主义、反犹太主义和色情图像以及口头骚扰。
Zoom承认,在公民实验室的一份报告发现该公司一直在推出自己的加密方案后,它的自定义加密是不合格的,使用的是不太安全的AES-128密钥,而不是它以前声称使用的AES-256加密。 在一个直接的回应,袁公开说,“我们认识到我们可以做更好的加密设计。”
Tycko和Zavareei LLP对Zoom提起集体诉讼,这是对该公司的第二起诉讼,因为它与Face book共享用户的个人信息。
加州民主党众议员杰里·麦克·内尼(Jerry McNerney)和众议院能源和商业委员会(House Committee on Energy and Commerce)的18位民主党同事致函袁国强,就该公司的隐私做法提出了关切和问题。 该信要求Zoom在4月10日前作出答复。
安全研究人员透露,一个自动工具能够在一小时内找到大约100个变焦会议ID,在一天的扫描中收集近2400个变焦会议的信息,正如安全专家布赖恩·克雷布斯所报告的那样。
自动缩放会议发现者‘z战斗拨号’发现每小时~100次会议不受密码保护。 该工具还促使Zoom调查其按默认设置的密码方法是否https://t.co/dXNq6KUYb3pic.twitter.com/h0vB1Cp9Tb故障
可发现的会议是那些没有密码保护的会议,但根据Verge的报告,该工具能够成功地生成多达14%的会议ID。
与此同时,主板公司发现,8chan论坛用户计划在一场反犹太人的变焦运动中劫持费城一所犹太学校的变焦呼叫。
《纽约时报》报道,Zoom上的数据挖掘功能允许一些参与者秘密地访问Linked In其他用户的个人资料数据。
据路透社报道,ElonMusk的Space X火箭公司以“严重的隐私和安全问题”为由禁止员工使用Zoom。
来自Motherboardagain的报道揭示了Zoom的另一个破坏性的安全缺陷,发现该应用程序通过一个松散设计的功能,将用户的电子邮件地址和照片泄露给陌生人作为公司目录。
袁在一篇博客上公开道歉,并发誓要提高安全性。 这包括为所有呼叫启用等候室和密码保护。 袁还表示,公司将在未来90天内冻结功能更新,以解决安全问题。
“拦截”公司的一项调查发现,Zoom呼叫数据正被送回该公司,而没有在其营销材料中承诺的端到端加密。
一位Zoom发言人在接受拦截时说:“目前,不可能为Zoom视频会议启用E2E加密。”
在发现了一个与Windows相关的Zoom错误,使人们认识到密码被盗,一个前国安局黑客又发现了两个错误,其中一个可能允许恶意参与者控制Zoom用户的麦克风或网络摄像头。 另一个漏洞使得Zoom能够在MacOS桌面上获得根访问,这充其量是一个危险的访问级别。
曾经想过@zoom_us MacOS安装程序是如何工作的,而你从来没有点击安装? 原来他们(A b)使用预装脚本,使用捆绑的7zip手动解压应用程序,如果当前用户在管理组(不需要根),则将其安装到/应用程序。 pic.twitter.com/qgQ1XdU11M
对该公司提起了集体诉讼,指控Zoom没有获得用户关于将其Zoom数据转移到Face book的适当同意,从而违反了加州新的数据保护法。
纽约司法部长莱蒂娅·詹姆斯办公室给佐姆发了一封信,概述了对隐私脆弱性的关注,并询问鉴于其网络流量的增加,该公司已经采取了哪些措施来确保其用户的安全。
报道了教室变焦事件,包括黑客闯入课堂会议并在学生屏幕上显示纳粹标志的事件,导致联邦调查局发布了关于变焦安全漏洞的公开警告。 该组织建议教育工作者使用密码保护视频通话,并用软件中现有的隐私功能锁定会议安全。
针对主板调查提出的关切,Zoom从其iOS应用程序中删除了Face book数据收集功能,并在一份声明中道歉。
Zoom告诉主板说:“Face book SDK收集的数据不包括任何个人用户信息,而是包括用户设备的数据,如移动操作系统类型和版本、设备时区、设备操作系统、设备模型和载体、屏幕大小、处理器核心和磁盘空间。
主板的一项调查显示,Zoom的iOS应用程序通过与Face book的GraphAPI的交互,向Face book发送用户分析数据,即使是对没有Face book账户的Zoom用户也是如此。