瞬间爆发导致安全断层：Zoom安全问题大合集

新冠疫情爆发以来，在线会议平台Zoom的应用也在爆发。从之前的日均1千万用户使用激增到2亿用户。随着Zoom使用量的爆发，大量的安全问题也暴露出来，反应出其安全设计和措施上的懈怠。以至于Zoom首席执行官袁征公开道歉，承认存在安全问题并表示要努力解决。

安全问题之多，甚至有安全公司发出“Zoom就是恶意软件”的声音。当然Zoom是一个合法正规的商业化软件，只不过存在着漏洞、隐私等很多的安全问题：
1. Zoom的隐私政策
Zoom的隐私政策导致其很有可能收集大量的用户数据，并与第三方共享。如视频、列表、共享注释等，甚至访问它的网站主页(zoom.us,zoom.com)的数据。3月29日，Zoom加强了它的隐私策略，声明不会将会议数据用做广告用途。
2. iOS应用
Zoom的iOS应用也集成了脸书的SDK，即使用户没有脸书的账户也会发送分析数据到该社交平台。之后更新的版本中，Zoom已移除了这个功能。
3. 与会者跟踪
这个功能允许zoom在会议中判断与会者是否离开了会议主窗口。4月2日，zoom永久移除了这个功能。
4. 隐默安装
zoom在安装它的Mac版应用时使用了“隐默安装”技术，无需用户同意。Mac恶意软件通常也会使用同样的技术。同样在4月2日，zoom的更新版本解决了这个问题。
5. Windows应用漏洞
在之前的windows版本中，存在一个UNC（统一命名规则）漏洞，攻击者可用来远程盗取windows登录凭证，甚至执行任意代码。
6. Mac漏洞
通过漏洞，可以获取root权限，并访问Mac系统上的麦克和摄像头。和上面的windows漏洞一样，在4月2日的更新中已经将问题修复。
7. 数据关联
当用户登录时，在不知情的情况下自动匹配用户在LinkedIn上的姓名和邮件地址。该功能目前也已经被禁止。
8. 邮件误关联
据新媒体Vice报道，zoom泄露了至少数千个用户邮件地址和照片，并允许陌生人彼此建立会议呼入。这些邮件地址使用相同的域名（主流邮件提供商如Gmail/Outlook/Hotmail/雅虎等不包括在内），被zoom当做同一公司的员工。
9. 视频数据泄露
华盛顿邮报4月3日报道，利用zoom的自动命名规则，可搜索到zoom的会议视频数据，这些数据放在AWS存储桶中，可公开访问。
10. 弱口令
研究人员开发了一个搜索工具，通过该工具每小时可发现100余个zoom会议的ID，且没有任何口令保护。
11. 非真正的端到端加密
zoom称在会议中，一方产生的音频、视频、屏幕共享和聊天等数据，在到达另一方之前是无法被解密的。但实际上，Zoom仅实现了对部分文本信息和音频的端到端加密。同时，其会议录制的增值服务将密钥放在了云端，意味着攻击者或政府情报机构可以通过某种手段获得密钥。
12. 屏幕炸弹
被称为zoombombing的恶意攻击，利用zoom不安全的默认配置可取得会议屏幕共享权，往屏幕上发送色情或恐怖等不良图片及信息。FBI还特为此种攻击发布了警告。
数世咨询评：
作为一个企业级会议服务平台，Zoom存在如此多的安全问题，难怪业界发出“Zoom就是恶意软件”的声音。但平心而论，任何一款软件应用在遇到爆发时期总会出现各种各样的问题。很多人应该记得，多年前的“Windows还是Linux谁更安全”之争，其实质就是谁的应用更广泛的问题。但不管怎样，在一个科技飞速发展万物互联的数字世界，安全已经远落后于技术应用的进步，是一个不争的事实。这才是我们每一个安全从业人员值得警惕并为之努力的主题。