Zoom隱私安全問題大爆發， 過程真的太痛苦了

隨著新冠肺炎疫情在全球蔓延，遠程辦公需求愈發增加，主打多人視頻會議的Zoom公司受到了越來越多的關注，不僅全球用戶數量激增，而且市值逆勢上揚，較去年IPO翻了兩倍，一時間風頭無兩。

“Zoom炸彈”入侵視頻會議的事故數量激增

可是人紅是非多，Zoom的確吸引了大量用戶，但同時也吸引了網絡安全專家和媒體的目光，旗下產品幾乎是被放在顯微鏡下觀察，成立9年以來從未有過。

近期以來，這款視頻會議軟件接二連三地被爆出安全和隱私漏洞，遭到SpaceX和NASA內部禁用，甚至連美國聯邦調查局（FBI）也發出警告，提醒用戶使用Zoom時注意網絡安全問題，不要在社交媒體上廣泛分享會議鏈接，以防機密信息被黑客獲取。

經統計，Zoo：m經歷的問題和質疑可以概括如下：由于Zoom軟件的默認設置，有人可以在未被邀請的情況下參與和惡意攪亂視頻會議，迫使會議中止。這種惡搞行為被稱為“Zoom-bombing （Zoom炸彈）”;Zoom宣稱視頻使用了端到端加密，但實際情況并非如此;數據收集和使用不透明，沒有透明度報告，而且iOS版Zoom應用會在未經用戶授權的情況下，問Facebook發送分析數據;桌面版Zoom程序存在漏洞，可能會泄露Windows和MacOS用戶的登錄憑據。

面對大大小小的漏洞和質疑，Zoom公司C.EO袁征正式公開道歉，承諾在未來90天內暫停所有新功能開發，動用全部工程師資源解決現有問題，修復過程保持透明，并且出臺有關用戶數據的透明度報告，以重塑信心。同時還會強化現有漏洞懸賞計劃，在每周三召開視頻講話，向社區透露問題修復的最新進展。

“我們歡迎您繼續提出問題和提供反饋，我們一直以來的首要目標都是讓用戶滿意，并確保我們平臺的安全性和隱私性值得所有人信任，”袁征在信中寫道。

損人不利己的“Zoom炸彈”

隨著北美新冠肺炎疫情愈發嚴重，不僅各大公司開始強制要求員工在家工作，很多學校也紛紛開始遠程授課。雖然Zoom此前一直主要針對企業用戶，但作為一款可以免費使用的在線視頻會議軟件，也受到了很多老師的青睞，把它當成是“云上課”工具。

這本來是zoorri擴大用戶群的絕佳機會，然而有多家媒體紛紛爆出學生使用Zoom上課卻遭遇不明人士亂入的事故，從中學生，到大學教授，再到瑜伽老師都沒能幸免。

很多人在社交媒體上大吐苦水，抱怨惡搞者故意大吼大叫，播放歌曲，還有人貼出種族歧視圖片，甚至公然播放成人視頻，迫使授課或會議中斷，造成了十分惡劣的影響。更過分的是，如果會議主持人不熟悉Zoom設置，那么即使封掉入侵者，他還會換個馬甲重新進入，導致會議根本無法繼續。

由于這種現象不在少數，故而得名“Zoom-bombing （Zoom炸彈）”。南加州大學校長C.arol L'Folt專門發表公開信譴責這種行為：“我對學生和教師不得不親眼目睹這種卑劣的行為感到非常難過。”在缺乏有效監管，而且很多人都閑在家里極度無聊的情況下，模仿這種行為的風氣愈演愈烈，一度有人在某些論壇上傳授如何制造“Zoom炸彈”。好多人還會沆韰一氣，在社交平臺上召集戰友，有針對性地聯手破壞一場會議。

云會議本身的機制導致人們很難追蹤他們，更別提懲罰他們。必須強調的是，不懷好意的惡搞者是罪魁禍首，但Zoom軟件面臨的輿論譴責并非無理。由于Zoom會議ID的規律性（9位—11位數字），一名網絡安全專家已經編寫出程序，可以自動掃描未經加密的會議，一小時就能搜到100個左右。

對于搗亂者來說，Zoom的很多默認設置就相當于敞開大門，歡迎他們來搞事情;這大大增加了會議受到不速之客打擾的概率。比如改版前的會議鏈接默認不需要密碼，任何人都能加入，同時“允許其他與會者共享屏幕內容（無需主持人批準）”也是默認選項。這兩條合起來就好比告訴陌生人：這是我家地址，不用鑰匙就能進，來了就別客氣，把這當成自己的家。相比之下，微軟等公司的同類云辦公軟件更加克制，通常默認由會議主持者控制屏幕共享等功能。好在Zoom亡羊補牢，幾周內連續出臺了補救措施和設置指南，包括如何讓會議更安全的教程，以及默認開啟會議密碼和等待室選項，防止有人不請自來，或者在主持人準備好之前進入會議搗亂。

為了進一步打擊“Zoom炸彈”，美國司法部下屬的密歇根州東區檢察官辦公室發表聲明稱，非法入侵視頻會議的人可能會被指控犯有州或聯邦罪行，任何受到騷擾的人都可以向FBI舉報。“你覺得Zoom炸彈很好玩？讓我們走著瞧，看看你被捕了之后還覺得它好玩嗎？”州檢察官Matthew Schneider直言不諱。

端到端加密危機

退一步講，在“Zoom炸彈”事故中，Zoom出現設計邏輯漏洞情有可原。畢竟疫情發酵之前，其目標群體是企業內部員工，類似“無需允許就可以共享屏幕”的產品邏輯，基于會議參與者都是受信賴的前提考慮也說得過去，并非觸及網絡安全的根本問題。然而它接下來被曝光的安全問題，則將其面臨的考驗提升了一個新高度。

首先是Zoom宣稱其視頻經過端到端加密，這被廣泛認為是最私密的互聯網通信方式，能有效保護用戶的通信內容不被第三方（包括Zoom自己）接觸到。但據The Intercept網站報道，實際上Zoo]m僅在部分文本信息和部分模式的音頻中使用了端到端加密，而在至關重要的視頻和電話通信方面則并未使用這一加密方式。

事實上，Zoorri曾在一份官方文件中承諾，將使用端到端方式對會議內容進行加密，甚至是在加密模式下使用該應用進行視頻會議時，界面上方還有“正在使用端到端加密”的字樣。但被問及視頻會議是否在實際上通過端到端加密時，Zoom的發言人表示：現階段，不可能為Zoom平臺上的視頻會議啟用端到端加密。在端到端加密的模式下，視頻和音頻內容需要經過加密處理，而只有會議的參與者才擁有密鑰，有能力對數據進行解密。在這過程中，Zoom雖然可以訪問到加密內容，但由于不掌握密鑰而不具備解鎖的能力。

在實際的運營中，Zoom在保護會議視頻內容的加密方式是TLS

（Transport LayerSecurity，傳輸層安全協議），跟很多網站使用的HTTPS傳輸協議相同。也就是說，其安全程度跟保護網頁流量不被監聽差不多。具體來說，用戶在電腦或手機上運行Zoom時，設備端到Zoom的服務器之間是加密的。但不同于端到端加密的關鍵點在于，Zoom自己具備訪問未被加密的視頻和音頻內容的能力。因此在采用TLS加密方式下，用戶的視頻或音頻內容可以防止被第三方竊取，比如通過WIFI監視的方式，但這些內容和數據并不能在Zoom這里保證安全。在這一問題上，Zoom回應稱，Zoom不會訪問、竊取和出售用戶數據。

? ? 截圖顯示Zoom特意在使用時強調自己使用了端到端加密連接，見左上角

Zoom發言人解釋道，公司在文件中提到的“端到端”指的是不同的Zoom端點之間的加密。這種說法是將Zoom的服務器視作是一個端點，這種做法和以往的常規理解并不相同。約翰·霍普金斯大學的密碼學家和計算機科學教授Matthew Green指出，多人參與的在線視頻本身是很難進行端到端加密的，這是因為平臺需要在會議過程中識別哪個用戶正在通話，并將這名用戶的高分辨率視頻流分發給其他參會者，而對于其他的未講話的參與者，平臺只會提供低分辨率的視頻流。“如果都是端到端加密，你需要更多額外的步驟。”馬修·格林表示，“這是可行的，但并不容易”。他指出，蘋果在自家的視頻通話軟件Facenme上就使用了端到端加密。對于這種疑似欺瞞行為，他表示，Zoom在端到端加密的解釋上有點模糊。

泄露系統登陸憑據

除了備受爭議的加密手段，Zoom還被多個信息安全專家點名，稱其Windows和Mac版軟件均存在暴露用戶登錄憑據的風險。

以Windows版本為例，Zoom的聊天系統會自動將URL，地址轉換為可以點擊的鏈接，以便其他用戶導航到對應網站。比如發送google.com文本，就會以鏈接的形式發出。但是Zoom還會將Windows系統的UNC路徑同樣轉換為鏈接。UNC路徑通常被用于訪問網絡路徑、設備或文件，比如連接局域網內的打印機。如果用戶點擊這種鏈接，Windows會使用SMB文件共享協議與該地址通信。默認情況下，系統會嘗試使用用戶名和NTLM密碼哈希值登錄，以訪問該設備或網絡文件夾，有經驗的黑客可以借助Hashcat這樣的免費工具來逆向運算，破解密碼。通常來說，很多軟件都會區分對待URL和UNC，后者不應該被默認加上可以點擊的鏈接樣式，而是應該以純文本的形式發送，以防有人誤點。

最早公布這一漏洞的安全人員已經證實了UNC.注入攻擊的可行性，不僅捕獲和破解了登錄憑據，還能啟動命令提示符（cMD）等本地程序。

目前Zoom已經獲悉了漏洞的存在，尚不清楚是否已經修復。

數據不透明

最后，作為一款視頻會議軟件，另一個老生常談的話題就是用戶數據收集和透明度。在這方面，ZOOm 顯然還需要更多努力。

根據Motherboard的分析，由于Zoom的iOS版應用使用了Facebook的Graph API，即使用戶沒有Facebook賬戶，該應用也會向Facebook發送一些分析數據，比如在應用開啟時通知Facebook，并且發送設備型號、時區、所在城市、電信運營商和廣告ID等信息。經媒體曝光后，Zoom目前已經刪除了發送數據的代碼。

事實上，這種行為并不少見，亞馬遜旗下的智能門鈴Ring也出現過類似問題。鑒于這種數據發送行為并未明確出現在Zoom公司和軟件的隱私條款中，目前已經有人對其提起了集體訴訟，

理由是未經用戶允許向Facebook發送數據。

一些用戶還發現，Zoo：m會議管理者可以獲得的監管信息非常多，包括與會者的Zoom窗口是否活躍，短時間內是否開啟了其他頁面，以及他們的IP地址、設備信息和所在地等等。這讓人們開始擔憂自己的隱私是否過分暴露。紐約總檢察長萊蒂西亞·詹姆斯最近也向Zoom寫信，要求公司提供保護數據隱私和安全的詳細資料，稱其“解決安全漏洞的速度一直很慢”，擔心惡意第三方能夠秘密訪問用戶的網絡攝像頭。

除此之外，在單邊主義抬頭的大環境下，Zoom創始人袁征和公司研發團隊的中國背景也被放在聚光燈下審視。加拿大多倫多大學C）1tizen Lab 的研究人員披露，Zoom軟件偶爾會將包含加密密鑰的數據發往中國服務器，即使用戶身在北美。他們多次測試后發現，該軟件使用的AES-1281256密鑰足夠有效，但使用美國還是中國的密鑰服務器似乎沒有規律。雖然研究人員在安全測試報告中還指出了其他問題，比如會議等待室存在安全漏洞（待修復后披露），也肯定了Zoom的一些加密措施。

Zoom公司首席執行官袁征

也正是基于這一問題，多倫多大學的研究人員不建議涉及機密和敏感信息的會議使用Zoom，實現“防患于未然”。對于Zoom來說，如果不做出改變，恐怕還會有更多麻煩找上門來。Zoom公司顯然深知這一點，僅用不到一天的時間就公開回應，稱已經修復了這一意外錯誤。官方給出的理由是近兩個月用戶量激增，導致北美服務器承擔了過大壓力，為了緩解壓力額外增配了服務器。

正所謂樹大招風，短時間內獲得如此之高的關注度，谷歌和微軟可能都沒享受過這種待遇。我們也不得不承認，Zoom這一個月真是太難了，一系列問題接踵而至。但歸根結底，拋開地緣政治問題不談，如果產品品質過硬，技術扎實，邏輯完善，經得起推敲和拆解，自然也不會經歷這些。對于一家成立9年，市值超300億美元的公司來說，關于數據、隱私和安全的要求并不苛刻。

有一說一，Zoom目前處理問題的態度可圈可點，經常能看到及時發表的長篇聲明，言辭懇切，整改問題的效率也不低。如果能夠化危機為機會好好把握，經歷陣痛未嘗不是一件好事。“我每天就感覺好像有某股力量在暗中搗鬼，想要摧毀我們。可是我太忙了，根本沒時間想這些陰謀論。”在最近一次接受《華爾街日報》采訪時，CEO袁征坦誠地表示，“我希望在（疫情）之后可以回歸商業客戶群，但如果我們能吸取教訓，變得更好更強，這一切也許是值得的，只是過程真的太痛苦了。”（本刊綜合整理）（編輯/小文）