随着 COVID-19 疫情在全球蔓延,远程办公需求愈发增加,主打多人视频会议的 Zoom 公司受到了越来越多的关注,不仅全球用户数量激增,而且市值逆势上扬,较去年 IPO 翻了两倍,一时间风头无两。
可是人红是非多,Zoom 的确吸引了大量用户,但同时也吸引了网络安全专家和媒体的目光,旗下产品几乎是被放在显微镜下观察,成立 9 年以来从未有过。
结果就是近半个月以来,这款视频会议软件接二连三地被爆出安全和隐私漏洞,遭到 SpaceX 和 NASA 内部禁用,甚至连美国联邦调查局(FBI)也发出警告,提醒用户使用 Zoom 时注意网络安全问题,不要在社交媒体上广泛分享会议链接,以防机密信息被黑客获取。
南加州大学校长 Carol L. Folt 专门发表公开信谴责这种行为,“我对学生和教师不得不亲眼目睹这种卑劣的行为感到非常难过。”
在缺乏有效监管,而且很多人都闲在家里极度无聊的情况下,模仿这种行为的风气愈演愈烈,一度有人在某些论坛上传授如何制造“Zoom炸弹”。
好多人还会沆韰一气,在社交平台上召集战友,有针对性地联手破坏一场会议。云会议本身的机制导致人们很难追踪他们,更别提惩罚他们。
必须强调的是,不怀好意的恶搞者是罪魁祸首,但 Zoom 软件面临的舆论谴责并非无理。
由于 Zoom 会议 ID 的规律性(9-11位数字),一名网络安全专家已经编写出程序,可以自动扫描未经加密的会议,一小时就能搜到 100 个左右。
图 | FBI发出警告,“Zoom炸弹”入侵视频会议的事故数量激增(来源:FBI)
为了进一步打击“Zoom炸弹”,美国司法部下属的密歇根州东区检察官办公室发表声明称,非法入侵视频会议的人可能会被指控犯有州或联邦罪行,任何受到骚扰的人都可以向 FBI 举报。
“你觉得Zoom炸弹很好玩?让我们走着瞧,看看你被捕了之后还觉得它好玩吗?”州检察官 Matthew Schneider 直言不讳。
端到端加密危机
退一步讲,在“Zoom炸弹”事故中,Zoom 出现设计逻辑漏洞情有可原。毕竟疫情发酵之前,其目标群体是企业内部员工,类似“无需允许就可以共享屏幕”的产品逻辑,基于会议参与者都是受信赖的前提考虑也说得过去,并非触及网络安全的根本问题。然而它接下来被曝光的安全问题,则将其面临的考验提升了一个新高度。
首先是 Zoom 宣称其视频经过端到端加密,这被广泛认为是最私密的互联网通信方式,能有效保护用户的通信内容不被第三方(包括 Zoom 自己)接触到。
但据 The Intercept 报道,实际上 Zoom 仅在部分文本信息和部分模式的音频中使用了端到端加密,而在至关重要的视频和电话通信方面则并未使用这一加密方式。
事实上,Zoom 曾在一份官方文件中承诺,将使用端到端方式对会议内容进行加密,甚至是在加密模式下使用该应用进行视频会议时,界面上方还有“正在使用端到端加密” 的字样。
但被问及视频会议是否在实际上通过端到端加密时,Zoom 的发言人表示:现阶段,不可能为 Zoom 平台上的视频会议启用端到端加密。
图 | Zoom官网称链接和数据分别经过TLS加密和AES-256加密(来源:Zoom)
Zoom 发言人解释道,公司在文件中提到的“端到端” 指的是不同的 Zoom 端点之间的加密。这种说法是将 Zoom 的服务器视作是一个端点,这种做法和以往的常规理解并不相同。
约翰 · 霍普金斯大学的密码学家和计算机科学教授 Matthew Green 指出,多人参与的在线视频本身是很难进行端到端加密的,这是因为平台需要在会议过程中识别哪个用户正在通话,并将这名用户的高分辨率视频流分发给其他参会者,而对于其他的未讲话的参与者,平台只会提供低分辨率的视频流。
“如果都是端到端加密,你需要更多额外的步骤。” Matthew Green 表示,“这是可行的,但并不容易。”他指出,苹果在自家的视频通话软件 Facetime 上就使用了端到端加密。对于这种疑似欺瞒行为,他表示,Zoom 在端到端加密的解释上有点模糊。
泄露系统登陆凭据
除了备受争议的加密手段,Zoom 还被多个信息安全专家点名,称其 Windows 和 Mac 版软件均存在暴露用户登录凭据的风险。
以 Windows 版本为例,Zoom 的聊天系统会自动将 URL 地址转换为可以点击的链接,以便其他用户导航到对应网站。比如发送 google.com 文本,就会以链接的形式发出。
但是 Zoom 还会将 Windows 系统的 UNC 路径同样转换为链接。UNC 路径通常被用于访问网络路径、设备或文件,比如连接局域网内的打印机。
图 | Zoom公司CEO袁征(来源:路透社/Carlo Allegri)
一些用户还发现,Zoom 会议管理者可以获得的监管信息非常多,包括与会者的 Zoom 窗口是否活跃,短时间内是否开启了其他页面,以及他们的 IP 地址、设备信息和所在地等等。这让人们开始担忧自己的隐私是否过分暴露。
纽约总检察长 Letitia James 最近也向 Zoom 写信,要求公司提供保护数据隐私和安全的详细资料,称其“解决安全漏洞的速度一直很慢”,担心恶意第三方能够秘密访问用户的网络摄像头。
除此之外,在地缘政治角力的大环境下,Zoom 创始人袁征和公司研发团队的中国背景也被放在聚光灯下审视。
加拿大多伦多大学 Citizen Lab 的研究人员在 4 月 3 日披露,Zoom 软件偶尔会将包含加密密钥的数据发往中国服务器,即使用户身在北美。
他们多次测试后发现,该软件使用的 AES-128/256 密钥足够有效,但使用美国还是中国的密钥服务器似乎没有规律。