国产在线高清精品二区_yw193亚洲中文字幕无码一区_国产精品久久AV无码久久_日韩Aⅴ人妻无码一区二区_上萬網友分享里番全彩之和老师h全彩无码心得

Zoom爆重大安全漏洞 CEO考慮開源 上萬視頻被公開

來源: 新智元 2020-04-07 16:00:06

冠狀病毒疫情期間,視頻會議軟件使用量激增,其中表現(xiàn)尤其搶眼的軟件就是Zoom。Zoom的日活躍用戶從去年12月份的1000萬人激增到現(xiàn)在的2億人,成為了視頻會議軟件中的當紅炸子雞,無法出門的歐美用戶用Zoom開會、上課、做培訓,探親、訪友、看醫(yī)生,甚至連辦婚禮、開葬禮這樣的事也被Zoom承包了。

Zoom最吸引人的就是“簡單好用”,但“簡單好用”的代價就是安全漏洞多,隱私問題沒辦法保證。

數(shù)萬隱私視頻遭泄漏,源于視頻命名方式?

15000個視頻被公開

近日,華盛頓郵報又報道出Zoom存在的重大安全漏洞:數(shù)以萬計的私人Zoom視頻被上傳至公開網(wǎng)頁,任何人都可在線圍觀!很驚悚有沒有!

向華盛頓郵報爆料的是美國國家安全局的前研究員帕特里克·杰克遜(Patrick Jackson),他爆料稱在開放的云存儲空間中一次性搜到了15000個Zoom視頻。

很多視頻都包含個人可識別信息

華盛頓郵報依著這條線索看到的Zoom視頻包括:一對一治療方案;遠程醫(yī)療呼叫人員最新的培訓方向,其中還有參會人員的名字和電話號碼;小公司開會視頻,帶財務報表的那種;小學生上網(wǎng)課,孩子的臉、聲音和樣貌細節(jié)都能看見。,還有在家里進行的很多私密談話,甚至還有美容師傳授脫毛技巧的裸露視頻。

命名方式單一安全性差

Zoom在視頻通話時,默認狀態(tài)下是不會錄制視頻的,但是會議主持人可以無需參加者同意錄制視頻保存在Zoom服務器或任何云端、公開網(wǎng)站,而且,錄制好的Zoom視頻都是相同的命名方式保存。

Jackson就發(fā)現(xiàn)了這個問題,并用免費的在線搜索引擎掃描了一下開放的云存儲空間,在默認命名規(guī)則下,一次性搜索出了15000個視頻。另外,還有一些視頻保存在未受保護的Amazon存儲桶中,用戶無意間改成了公開訪問,YouTube和Vimeo也能找到Zoom視頻。

15000個視頻就足以說明這不是用戶的粗心大意,而是產(chǎn)品的設計問題

。Zoom的設計師繞過了一些視頻聊天程序常用的安全保護功能,如要求用戶在保存視頻時使用唯一的文件名。Zoom默認單一的命名方式是簡單好操作,但也更容易受到黑客攻擊。

Jackson稱:“Zoom應該在提醒用戶保護好視頻方面做得更好,在設計上做一些調整,例如使用一種無法預測的方式命名視頻,讓視頻能難在公開領域找到。”

Zoom發(fā)言人隨后發(fā)表了一份聲明,建議用戶在視頻錄音上傳時要謹慎行事:

“Zoom會議主持人錄制視頻時,Zoom將通知所有參會人員,并為主持人提供一種安全可靠的方式存儲會議記錄。Zoom會議視頻僅按照主持人的選擇保存在本地設備或Zoom云端,如果主持人選擇將會議記錄上傳到其他位置,我們敦促務必格外謹慎,并與參會人員保持透明,仔細考慮會議是否包含敏感信息,符合參會人員合理期望。”

Zoom漏洞頻發(fā)還涉嫌虛假宣傳

分析了 Zoom 代碼的安全研究人員說,Zoom 的軟件依賴于一些技術,這些技術可能會使人們的電腦暴露給黑客。Zoom的數(shù)據(jù)共享設計,使得一些用戶在未經(jīng)所有會議相關人員同意的情況下可以錄制談話內(nèi)容,可能會泄漏與會人員的隱私。

Zoom 的默認設置允許新用戶在打電話時突然向其他用戶的電腦發(fā)送文本和圖片,而這種屏幕共享功能會被“ zoombombing”隨意利用。在接受《華盛頓郵報》采訪時說,Zoom表示這項功能是為其核心用戶群設計的,最近改變了學校的默認設置,只允許教師共享他們的屏幕。

前 Facebook 安全主管、現(xiàn)任斯坦?;ヂ?lián)網(wǎng)天文臺(Stanford Internet Observatory)負責人Alex Stamos表示,Zoom 的問題包括從愚蠢的設計到嚴重的產(chǎn)品安全缺陷,其中許多缺陷讓他十分擔心。

據(jù)網(wǎng)絡安全公司 VMRay 的一位技術分析師說,Zoom 用來加速安裝的代碼依賴于“糟糕的安全措施和 對用戶撒謊”。Zoom 的首席執(zhí)行官袁征在回應中說,該公司利用這些做法來“平衡”用戶在使用該程序之前所需的“點擊次數(shù)”。

Zoom is using end to end encrypted connection

Zoom 此次曝光的一系列安全漏洞中,最主要的是沒有在視頻通話中使用端到端加密,僅在部分文本信息和部分模式的音頻中使用了這一加密方式,但卻在視頻應用中顯示。

現(xiàn)階段不可能為 Zoom 平臺上的視頻會議提供端到端加密

Zoom為啥不用端到端

要了解端到端加密,首先要了解什么是信息加密。

在密碼學中,加密是將明文信息改變?yōu)殡y以讀取的密文內(nèi)容,使之不可讀的過程。只有擁有解密方法的對象,經(jīng)由解密過程,才能將密文還原為正??勺x的內(nèi)容。

而端到端加密 (End-to-end encryption,E2EE)是一個只有參與通訊的用戶可以讀取信息的通信加密系統(tǒng)??偟膩碚f,它可以防止?jié)撛诘母`聽者——包括電信供應商、互聯(lián)網(wǎng)服務供應商甚至是該通訊系統(tǒng)的提供者——獲取能夠用以解密通訊的密鑰。此類系統(tǒng)可以防止?jié)撛诘谋O(jiān)視或篡改,因為沒有密鑰的第三方難以破譯系統(tǒng)中傳輸或儲存的數(shù)據(jù)。使用端到端加密的通訊提供商比如whatsapp,就無法將其客戶的通訊數(shù)據(jù)提取出來,所以這種加密方式也會給警方調查取證造成一定困擾。

無加密的情況下,A到B的任何一個環(huán)節(jié)都可以查看和修改信息;SSL加密從A到服務器,服務器到B的信息傳輸都是安全的,但服務器上的信息是解密的;端到端加密A端使用用戶B的公鑰加密,服務器是沒有密鑰的,B端用戶再用私鑰解密,整個傳輸過程都是加密的。

1994年,NetScape公司設計了SSL協(xié)議(Secure Sockets Layer),1999年,互聯(lián)網(wǎng)標準化組織ISOC接替NetScape公司,發(fā)布了SSL的升級版TLS,而TLS就是Zoom現(xiàn)在使用的視頻加密方式,所以用戶數(shù)據(jù)還是可以被竊取的。

端到端加密這么好,為什么Zoom不用呢?

首先,端到端加密只能提高通訊內(nèi)容的保密性,它不能阻止通訊被徹底中斷;然后是,端到端加密時,通訊雙方的地址必須是公開的。比如Zoom幫你傳遞一段端到端加密的視頻,Zoom可能沒法知道視頻的內(nèi)容,但它肯定知道收發(fā)雙方的地址、收貨人和發(fā)貨人是誰,而且Zoom也保證不了一定能送達。因此對于有更高保密需求的應用環(huán)境,還必須與其他層次的加密方式相結合,才能夠達到較好的效果。

立即停止開發(fā)新功能,全力補作業(yè)

3月20日,幫助用戶解決了平臺上的騷擾事件(或所謂的“ Zoombombing”) ,提醒用戶可以防止騷擾的辦法,例如等候室、密碼、靜音控制和限制屏幕共享等。

3月27日,移除了iOS客戶端的Facebook SDK。

3月29日,更新了隱私政策,明確聲明我們不出售用戶數(shù)據(jù),我們過去從未出售過用戶數(shù)據(jù),將來也沒有打算出售用戶數(shù)據(jù)。

對于教育用戶,Zoom推出了一個管理員指南幫助更好地維護虛擬教室,還專門建立了一個K-12隱私政策。

4月1日,Zoom中文公告顯示,Zoom將停止所有新功能的開發(fā),并將全部工程資源用于解決最近的安全漏洞問題。

Zoom創(chuàng)立只是因為愛情,今天你Zoom了嗎?

“我們已經(jīng)認識到我們沒有達到用戶在隱私安全方面的期望。對此,我深表歉意。”

我們設計這個產(chǎn)品時并沒有預見到,在幾個星期內(nèi),全世界所有人都會突然在家辦公,學習和社交。

在Zoom的致歉信里,創(chuàng)始人兼CEO袁征重申了公司創(chuàng)立的初衷,聽起來有為泄露事件脫罪之嫌,但言語之間也不乏真誠。“”

“無論是跨國公司要保持業(yè)務連貫性,地方政府要維持社區(qū)運轉,學校老師要開展遠程教育,還是隔離期間想和朋友共度美好時光,我們都極其榮幸能夠幫助大家保持聯(lián)系。”

包括來自20個國家的90,000多所學校

“我們深感責任重大。Zoom 的用戶量一夜之間激增,遠超預期。其中,這些學校已經(jīng)開展了遠程教育。今年3月,我們每天的會議參與人數(shù)已超2億人,有免費也有付費。我們一直在日以繼夜地工作,以確保我們所有的新老用戶可以保持聯(lián)系和正常運作。”

簡言之,核心思想是,Zoom所做的事業(yè)初衷是好的,對于疫情期間人與人的交流很有意義,大家不要過分苛責我們了

讓我們回到Zoom成立之初的愿景。

Zoom的創(chuàng)辦靈感來自創(chuàng)始人袁征大一時期的女朋友,那時候他們還是異地戀,兩個人相隔10幾個小時的火車路程,每年只有寒暑假能夠見上幾面。對女友的思念讓他萌生了創(chuàng)辦共享視頻網(wǎng)站的念頭。對愛情的堅持讓他最終抱得美人歸。

2018年,他在美國求職網(wǎng)站Glassdoor發(fā)布的2018年全美Top100 CEO榜單上,以99%的支持率被評為最受歡迎CEO,甚至超過了Mark Zuckerburg和Tim Cook。2019年胡潤百富榜上,他排名第78位。今年4月即將發(fā)布的《福布斯》億萬富翁排行榜上,他也榜上有名。

1994年,他在日本出差時聽到比爾蓋茨的一次演講,從此萌生了收拾行囊,來到大洋彼岸加入互聯(lián)網(wǎng)大潮的想法

袁征是個傳奇人物。相比于其他科技圈大佬,他遠不能算得上是天資過人。袁征出生在山東泰安的一個采礦工程師家庭,1987年畢業(yè)于山東科技大學應用數(shù)學。。

赴美時,袁征普通話都有嚴重的口音,英語更是磕磕絆絆,當時美國海關要了他的英文名片,上面寫的頭銜是顧問,卻被簽證官理解成了兼職承包商。兩年的時間里,他一共被拒簽9次。1997年終于如愿赴美,一走就是二十載。初到美國以后,他開始邊刷盤子邊投簡歷,后來加入一家早期的網(wǎng)絡會議應用公司W(wǎng)ebEx開始寫代碼。

2000年左右,他每天和客戶打交道心情都會變得很差,客戶越來越不滿,工作也開始束手束腳。2007年,WebEx被Cisco收購。

后來的故事,當上了Cisco工程副總裁的袁征帶走了原公司的40多名工程師自立門戶。2011年,Zoom正式成立,一開始為組織機構提供的服務都是無償?shù)摹?/p>

雖然犯錯,但初心是造福世界

我年輕的時候想要理解生活是為了什么,但卻找不到答案。后來明白生活就是為了追求幸福,而為他人創(chuàng)造幸福,你自己的幸福才能持續(xù)。所以我創(chuàng)辦公司也遵循這個原則,努力讓客戶幸福

在創(chuàng)業(yè)邦的采訪中他表示

袁征的兒子在上大一,因為疫情也開始用Zoom上課。袁征在福布斯采訪中說:“我告訴我兒子,我終于明白我這么努力工作的意義了。我做這些工具就是為了讓你們上網(wǎng)課用的。”

初心是好的,但越是風頭正緊,越容易出問題。

泄露事件爆發(fā)后,和袁征同住一個屋檐下的母親總是擔心他的身體健康。袁征每天都躲在家中的辦公室里,只睡兩三個小時。

袁征甚至表示,如果不能把Zoom變成世界上最安全的平臺,在接下來的幾年里,他會考慮開源Zoom的代碼

采訪中他承認:“ 如果我有選擇的話,我肯定會回到B2B業(yè)務上,而現(xiàn)在,游戲規(guī)則完全不同了。”。

此情此景有些似曾相識。Facebook爆出用戶數(shù)據(jù)泄露事故以后,袁征最敬佩的企業(yè)家小扎表示,“臉書是我創(chuàng)辦的,直到最后一天,我都會對平臺上發(fā)生的事情負責。”

不知道對愛情和事業(yè)都永葆初心的袁征此時此刻正作何感想。

(記者 AI_era)

標簽: 安全漏洞

猜你喜歡