论文部分内容阅读
随着新冠肺炎疫情在全球蔓延,远程办公需求愈发增加,主打多人视频会议的Zoom公司受到了越来越多的关注,不仅全球用户数量激增,而且市值逆势上扬,较去年IPO翻了两倍,一时间风头无两。
可是人红是非多,Zoom的确吸引了大量用户,但同时也吸引了网络安全专家和媒体的目光,旗下产品几乎是被放在显微镜下观察,成立9年以来从未有过。
近期以来,这款视频会议软件接二连三地被爆出安全和隐私漏洞,遭到SpaceX和NASA内部禁用,甚至连美国联邦调查局(FBI)也发出警告,提醒用户使用Zoom时注意网络安全问题,不要在社交媒体上广泛分享会议链接,以防机密信息被黑客获取。
经统计,Zoo:m经历的问题和质疑可以概括如下:由于Zoom软件的默认设置,有人可以在未被邀请的情况下参与和恶意搅乱视频会议,迫使会议中止。这种恶搞行为被称为“Zoom-bombing (Zoom炸弹)”;Zoom宣称视频使用了端到端加密,但实际情况并非如此;数据收集和使用不透明,没有透明度报告,而且iOS版Zoom应用会在未经用户授权的情况下,问Facebook发送分析数据;桌面版Zoom程序存在漏洞,可能会泄露Windows和MacOS用戶的登录凭据。
面对大大小小的漏洞和质疑,Zoom公司C.EO袁征正式公开道歉,承诺在未来90天内暂停所有新功能开发,动用全部工程师资源解决现有问题,修复过程保持透明,并且出台有关用户数据的透明度报告,以重塑信心。同时还会强化现有漏洞悬赏计划,在每周三召开视频讲话,向社区透露问题修复的最新进展。
“我们欢迎您继续提出问题和提供反馈,我们一直以来的首要目标都是让用户满意,并确保我们平台的安全性和隐私性值得所有人信任,”袁征在信中写道。
随着北美新冠肺炎疫情愈发严重,不仅各大公司开始强制要求员工在家工作,很多学校也纷纷开始远程授课。虽然Zoom此前一直主要针对企业用户,但作为一款可以免费使用的在线视频会议软件,也受到了很多老师的青睐,把它当成是“云上课”工具。
这本来是zoorri扩大用户群的绝佳机会,然而有多家媒体纷纷爆出学生使用Zoom上课却遭遇不明人士乱入的事故,从中学生,到大学教授,再到瑜伽老师都没能幸免。
很多人在社交媒体上大吐苦水,抱怨恶搞者故意大吼大叫,播放歌曲,还有人贴出种族歧视图片,甚至公然播放成人视频,迫使授课或会议中断,造成了十分恶劣的影响。更过分的是,如果会议主持人不熟悉Zoom设置,那么即使封掉入侵者,他还会换个马甲重新进入,导致会议根本无法继续。
由于这种现象不在少数,故而得名“Zoom-bombing (Zoom炸弹)”。南加州大学校长C.arol L’Folt专门发表公开信谴责这种行为:“我对学生和教师不得不亲眼目睹这种卑劣的行为感到非常难过。”在缺乏有效监管,而且很多人都闲在家里极度无聊的情况下,模仿这种行为的风气愈演愈烈,一度有人在某些论坛上传授如何制造“Zoom炸弹”。好多人还会沆韰一气,在社交平台上召集战友,有针对性地联手破坏一场会议。
云会议本身的机制导致人们很难追踪他们,更别提惩罚他们。必须强调的是,不怀好意的恶搞者是罪魁祸首,但Zoom软件面临的舆论谴责并非无理。由于Zoom会议ID的规律性(9位—11位数字),一名网络安全专家已经编写出程序,可以自动扫描未经加密的会议,一小时就能搜到100个左右。
对于捣乱者来说,Zoom的很多默认设置就相当于敞开大门,欢迎他们来搞事情;这大大增加了会议受到不速之客打扰的概率。比如改版前的会议链接默认不需要密码,任何人都能加入,同时“允许其他与会者共享屏幕内容(无需主持人批准)”也是默认选项。这两条合起来就好比告诉陌生人:这是我家地址,不用钥匙就能进,来了就别客气,把这当成自己的家。相比之下,微软等公司的同类云办公软件更加克制,通常默认由会议主持者控制屏幕共享等功能。好在Zoom亡羊补牢,几周内连续出台了补救措施和设置指南,包括如何让会议更安全的教程,以及默认开启会议密码和等待室选项,防止有人不请自来,或者在主持人准备好之前进入会议捣乱。
为了进一步打击“Zoom炸弹”,美国司法部下属的密歇根州东区检察官办公室发表声明称,非法入侵视频会议的人可能会被指控犯有州或联邦罪行,任何受到骚扰的人都可以向FBI举报。“你觉得Zoom炸弹很好玩?让我们走着瞧,看看你被捕了之后还觉得它好玩吗?”州检察官Matthew Schneider直言不讳。
退一步讲,在“Zoom炸弹”事故中,Zoom出现设计逻辑漏洞情有可原。毕竟疫情发酵之前,其目标群体是企业内部员工,类似“无需允许就可以共享屏幕”的产品逻辑,基于会议参与者都是受信赖的前提考虑也说得过去,并非触及网络安全的根本问题。然而它接下来被曝光的安全问题,则将其面临的考验提升了一个新高度。
首先是Zoom宣称其视频经过端到端加密,这被广泛认为是最私密的互联网通信方式,能有效保护用户的通信内容不被第三方(包括Zoom自己)接触到。但据The Intercept网站报道,实际上Zoo]m仅在部分文本信息和部分模式的音频中使用了端到端加密,而在至关重要的视频和电话通信方面则并未使用这一加密方式。
事实上,Zoorri曾在一份官方文件中承诺,将使用端到端方式对会议内容进行加密,甚至是在加密模式下使用该应用进行视频会议时,界面上方还有“正在使用端到端加密”的字样。但被问及视频会议是否在实际上通过端到端加密时,Zoom的发言人表示:现阶段,不可能为Zoom平台上的视频会议启用端到端加密。在端到端加密的模式下,视频和音频内容需要经过加密处理,而只有会议的参与者才拥有密钥,有能力对数据进行解密。在这过程中,Zoom虽然可以访问到加密内容,但由于不掌握密钥而不具备解锁的能力。 在实际的运营中,Zoom在保护会议视频内容的加密方式是TLS
(Transport LayerSecurity,传输层安全协议),跟很多网站使用的HTTPS传输协议相同。也就是说,其安全程度跟保护网页流量不被监听差不多。具体来说,用户在电脑或手机上运行Zoom时,设备端到Zoom的服务器之间是加密的。但不同于端到端加密的关键点在于,Zoom自己具备访问未被加密的视频和音频内容的能力。因此在采用TLS加密方式下,用户的视频或音频内容可以防止被第三方窃取,比如通过WIFI监视的方式,但这些内容和数据并不能在Zoom这里保证安全。在这一问题上,Zoom回应称,Zoom不会访问、窃取和出售用户数据。
可是人红是非多,Zoom的确吸引了大量用户,但同时也吸引了网络安全专家和媒体的目光,旗下产品几乎是被放在显微镜下观察,成立9年以来从未有过。
近期以来,这款视频会议软件接二连三地被爆出安全和隐私漏洞,遭到SpaceX和NASA内部禁用,甚至连美国联邦调查局(FBI)也发出警告,提醒用户使用Zoom时注意网络安全问题,不要在社交媒体上广泛分享会议链接,以防机密信息被黑客获取。
经统计,Zoo:m经历的问题和质疑可以概括如下:由于Zoom软件的默认设置,有人可以在未被邀请的情况下参与和恶意搅乱视频会议,迫使会议中止。这种恶搞行为被称为“Zoom-bombing (Zoom炸弹)”;Zoom宣称视频使用了端到端加密,但实际情况并非如此;数据收集和使用不透明,没有透明度报告,而且iOS版Zoom应用会在未经用户授权的情况下,问Facebook发送分析数据;桌面版Zoom程序存在漏洞,可能会泄露Windows和MacOS用戶的登录凭据。
面对大大小小的漏洞和质疑,Zoom公司C.EO袁征正式公开道歉,承诺在未来90天内暂停所有新功能开发,动用全部工程师资源解决现有问题,修复过程保持透明,并且出台有关用户数据的透明度报告,以重塑信心。同时还会强化现有漏洞悬赏计划,在每周三召开视频讲话,向社区透露问题修复的最新进展。
“我们欢迎您继续提出问题和提供反馈,我们一直以来的首要目标都是让用户满意,并确保我们平台的安全性和隐私性值得所有人信任,”袁征在信中写道。
损人不利己的“Zoom炸弹”
随着北美新冠肺炎疫情愈发严重,不仅各大公司开始强制要求员工在家工作,很多学校也纷纷开始远程授课。虽然Zoom此前一直主要针对企业用户,但作为一款可以免费使用的在线视频会议软件,也受到了很多老师的青睐,把它当成是“云上课”工具。
这本来是zoorri扩大用户群的绝佳机会,然而有多家媒体纷纷爆出学生使用Zoom上课却遭遇不明人士乱入的事故,从中学生,到大学教授,再到瑜伽老师都没能幸免。
很多人在社交媒体上大吐苦水,抱怨恶搞者故意大吼大叫,播放歌曲,还有人贴出种族歧视图片,甚至公然播放成人视频,迫使授课或会议中断,造成了十分恶劣的影响。更过分的是,如果会议主持人不熟悉Zoom设置,那么即使封掉入侵者,他还会换个马甲重新进入,导致会议根本无法继续。
由于这种现象不在少数,故而得名“Zoom-bombing (Zoom炸弹)”。南加州大学校长C.arol L’Folt专门发表公开信谴责这种行为:“我对学生和教师不得不亲眼目睹这种卑劣的行为感到非常难过。”在缺乏有效监管,而且很多人都闲在家里极度无聊的情况下,模仿这种行为的风气愈演愈烈,一度有人在某些论坛上传授如何制造“Zoom炸弹”。好多人还会沆韰一气,在社交平台上召集战友,有针对性地联手破坏一场会议。
云会议本身的机制导致人们很难追踪他们,更别提惩罚他们。必须强调的是,不怀好意的恶搞者是罪魁祸首,但Zoom软件面临的舆论谴责并非无理。由于Zoom会议ID的规律性(9位—11位数字),一名网络安全专家已经编写出程序,可以自动扫描未经加密的会议,一小时就能搜到100个左右。
对于捣乱者来说,Zoom的很多默认设置就相当于敞开大门,欢迎他们来搞事情;这大大增加了会议受到不速之客打扰的概率。比如改版前的会议链接默认不需要密码,任何人都能加入,同时“允许其他与会者共享屏幕内容(无需主持人批准)”也是默认选项。这两条合起来就好比告诉陌生人:这是我家地址,不用钥匙就能进,来了就别客气,把这当成自己的家。相比之下,微软等公司的同类云办公软件更加克制,通常默认由会议主持者控制屏幕共享等功能。好在Zoom亡羊补牢,几周内连续出台了补救措施和设置指南,包括如何让会议更安全的教程,以及默认开启会议密码和等待室选项,防止有人不请自来,或者在主持人准备好之前进入会议捣乱。
为了进一步打击“Zoom炸弹”,美国司法部下属的密歇根州东区检察官办公室发表声明称,非法入侵视频会议的人可能会被指控犯有州或联邦罪行,任何受到骚扰的人都可以向FBI举报。“你觉得Zoom炸弹很好玩?让我们走着瞧,看看你被捕了之后还觉得它好玩吗?”州检察官Matthew Schneider直言不讳。
端到端加密危机
退一步讲,在“Zoom炸弹”事故中,Zoom出现设计逻辑漏洞情有可原。毕竟疫情发酵之前,其目标群体是企业内部员工,类似“无需允许就可以共享屏幕”的产品逻辑,基于会议参与者都是受信赖的前提考虑也说得过去,并非触及网络安全的根本问题。然而它接下来被曝光的安全问题,则将其面临的考验提升了一个新高度。
首先是Zoom宣称其视频经过端到端加密,这被广泛认为是最私密的互联网通信方式,能有效保护用户的通信内容不被第三方(包括Zoom自己)接触到。但据The Intercept网站报道,实际上Zoo]m仅在部分文本信息和部分模式的音频中使用了端到端加密,而在至关重要的视频和电话通信方面则并未使用这一加密方式。
事实上,Zoorri曾在一份官方文件中承诺,将使用端到端方式对会议内容进行加密,甚至是在加密模式下使用该应用进行视频会议时,界面上方还有“正在使用端到端加密”的字样。但被问及视频会议是否在实际上通过端到端加密时,Zoom的发言人表示:现阶段,不可能为Zoom平台上的视频会议启用端到端加密。在端到端加密的模式下,视频和音频内容需要经过加密处理,而只有会议的参与者才拥有密钥,有能力对数据进行解密。在这过程中,Zoom虽然可以访问到加密内容,但由于不掌握密钥而不具备解锁的能力。 在实际的运营中,Zoom在保护会议视频内容的加密方式是TLS
(Transport LayerSecurity,传输层安全协议),跟很多网站使用的HTTPS传输协议相同。也就是说,其安全程度跟保护网页流量不被监听差不多。具体来说,用户在电脑或手机上运行Zoom时,设备端到Zoom的服务器之间是加密的。但不同于端到端加密的关键点在于,Zoom自己具备访问未被加密的视频和音频内容的能力。因此在采用TLS加密方式下,用户的视频或音频内容可以防止被第三方窃取,比如通过WIFI监视的方式,但这些内容和数据并不能在Zoom这里保证安全。在这一问题上,Zoom回应称,Zoom不会访问、窃取和出售用户数据。