Zoom爆重大安全漏洞：数万视频被公开围观 CEO考虑开源

冠状病毒疫情期间，视频会议软件使用量激增，其中表现尤其抢眼的软件就是Zoom。Zoom的日活跃用户从去年12月份的1000万人激增到现在的2亿人，成为了视频会议软件中的当红炸子鸡，无法出门的欧美用户用Zoom开会、上课、做培训，探亲、访友、看医生，甚至连办婚礼、开葬礼这样的事也被Zoom承包了。

Zoom最吸引人的就是“简单好用”，但“简单好用”的代价就是安全漏洞多，隐私问题没办法保证。

数万隐私视频遭泄漏，源于视频命名方式？

15000个视频被公开

近日，华盛顿邮报又报道出Zoom存在的重大安全漏洞：数以万计的私人Zoom视频被上传至公开网页，任何人都可在线围观！很惊悚有没有！

向华盛顿邮报爆料的是美国国家安全局的前研究员帕特里克·杰克逊（Patrick Jackson），他爆料称在开放的云存储空间中一次性搜到了15000个Zoom视频。

华盛顿邮报依着这条线索看到的Zoom视频包括：一对一治疗方案；远程医疗呼叫人员最新的培训方向，其中还有参会人员的名字和电话号码；小公司开会视频，带财务报表的那种；小学生上网课，孩子的脸、声音和样貌细节都能看见。很多视频都包含个人可识别信息，还有在家里进行的很多私密谈话，甚至还有美容师传授脱毛技巧的裸露视频。

命名方式单一安全性差

Zoom在视频通话时，默认状态下是不会录制视频的，但是会议主持人可以无需参加者同意录制视频保存在Zoom服务器或任何云端、公开网站，而且，录制好的Zoom视频都是相同的命名方式保存。

Jackson就发现了这个问题，并用免费的在线搜索引擎扫描了一下开放的云存储空间，在默认命名规则下，一次性搜索出了15000个视频。另外，还有一些视频保存在未受保护的Amazon存储桶中，用户无意间改成了公开访问，YouTube和Vimeo也能找到Zoom视频。

15000个视频就足以说明这不是用户的粗心大意，而是产品的设计问题。Zoom的设计师绕过了一些视频聊天程序常用的安全保护功能，如要求用户在保存视频时使用唯一的文件名。Zoom默认单一的命名方式是简单好操作，但也更容易受到黑客攻击。

Jackson称：“Zoom应该在提醒用户保护好视频方面做得更好，在设计上做一些调整，例如使用一种无法预测的方式命名视频，让视频能难在公开领域找到。”

Zoom发言人随后发表了一份声明，建议用户在视频录音上传时要谨慎行事：

“Zoom会议主持人录制视频时，Zoom将通知所有参会人员，并为主持人提供一种安全可靠的方式存储会议记录。Zoom会议视频仅按照主持人的选择保存在本地设备或Zoom云端，如果主持人选择将会议记录上传到其他位置，我们敦促务必格外谨慎，并与参会人员保持透明，仔细考虑会议是否包含敏感信息，符合参会人员合理期望。”

Zoom漏洞频发还涉嫌虚假宣传

分析了 Zoom 代码的安全研究人员说，Zoom 的软件依赖于一些技术，这些技术可能会使人们的电脑暴露给黑客。Zoom的数据共享设计，使得一些用户在未经所有会议相关人员同意的情况下可以录制谈话内容，可能会泄漏与会人员的隐私。

Zoom 的默认设置允许新用户在打电话时突然向其他用户的电脑发送文本和图片，而这种屏幕共享功能会被“ zoombombing”随意利用。在接受《华盛顿邮报》采访时说，Zoom表示这项功能是为其核心用户群设计的，最近改变了学校的默认设置，只允许教师共享他们的屏幕。

前 Facebook 安全主管、现任斯坦福互联网天文台(Stanford Internet Observatory)负责人Alex Stamos表示，Zoom 的问题包括从愚蠢的设计到严重的产品安全缺陷，其中许多缺陷让他十分担心。

据网络安全公司 VMRay 的一位技术分析师说，Zoom 用来加速安装的代码依赖于“糟糕的安全措施和 对用户撒谎”。Zoom 的首席执行官袁征在回应中说，该公司利用这些做法来“平衡”用户在使用该程序之前所需的“点击次数”。

Zoom 此次曝光的一系列安全漏洞中，最主要的是没有在视频通话中使用端到端加密，仅在部分文本信息和部分模式的音频中使用了这一加密方式，但却在视频应用中显示Zoom is using end to end encrypted connection。

Zoom 的发言人随后表示：现阶段不可能为 Zoom 平台上的视频会议提供端到端加密。

Zoom为啥不用端到端

要了解端到端加密，首先要了解什么是信息加密。

在密码学中，加密是将明文信息改变为难以读取的密文内容，使之不可读的过程。只有拥有解密方法的对象，经由解密过程，才能将密文还原为正常可读的内容。

而端到端加密 (End-to-end encryption，E2EE)是一个只有参与通讯的用户可以读取信息的通信加密系统。总的来说，它可以防止潜在的窃听者——包括电信供应商、互联网服务供应商甚至是该通讯系统的提供者——获取能够用以解密通讯的密钥。此类系统可以防止潜在的监视或篡改，因为没有密钥的第三方难以破译系统中传输或储存的数据。使用端到端加密的通讯提供商比如whatsapp，就无法将其客户的通讯数据提取出来，所以这种加密方式也会给警方调查取证造成一定困扰。

无加密的情况下，A到B的任何一个环节都可以查看和修改信息；SSL加密从A到服务器，服务器到B的信息传输都是安全的，但服务器上的信息是解密的；端到端加密A端使用用户B的公钥加密，服务器是没有密钥的，B端用户再用私钥解密，整个传输过程都是加密的。

1994年，NetScape公司设计了SSL协议（Secure Sockets Layer），1999年，互联网标准化组织ISOC接替NetScape公司，发布了SSL的升级版TLS，而TLS就是Zoom现在使用的视频加密方式，所以用户数据还是可以被窃取的。

端到端加密这么好，为什么Zoom不用呢？

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!