注意！Zoom被爆重大安全漏洞！！！

冠状病毒疫情期间，视频会议软件使用量激增，其中表现尤其抢眼的软件就是Zoom。Zoom的日活跃用户从去年12月份的1000万人激增到现在的2亿人，成为了视频会议软件中的当红炸子鸡，无法出门的欧美用户用Zoom开会、上课、做培训，探亲、访友、看医生，甚至连办婚礼、开葬礼这样的事也被Zoom承包了。

Zoom最吸引人的就是“简单好用”，但“简单好用”的代价就是安全漏洞多，隐私问题没办法保证。

数万隐私视频遭泄漏，源于视频命名方式？

15000个视频被公开

近日，华盛顿邮报又报道出Zoom存在的重大安全漏洞：数以万计的私人Zoom视频被上传至公开网页，任何人都可在线围观！很惊悚有没有！

向华盛顿邮报爆料的是美国国家安全局的前研究员帕特里克·杰克逊（Patrick Jackson），他爆料称在开放的云存储空间中一次性搜到了15000个Zoom视频。

华盛顿邮报依着这条线索看到的Zoom视频包括：一对一治疗方案；远程医疗呼叫人员最新的培训方向，其中还有参会人员的名字和电话号码；小公司开会视频，带财务报表的那种；小学生上网课，孩子的脸、声音和样貌细节都能看见。很多视频都包含个人可识别信息，还有在家里进行的很多私密谈话，甚至还有美容师传授脱毛技巧的裸露视频。

zoom爆安全漏洞也不是一回二回了，下面是来源于"安全乐观主义"公众号收集的zoom漏洞大全。

1. 与Facebook 共享数据

2. 参会者注意力跟踪

3. 参与者IP地址泄露

4. 误导性的安装提示

5. LinkedIn销售导航仪功能

6. 内置的web服务器

7. UNC安全问题

8. zoom炸弹

9. 数据中心错误划分

10. 会议加密

屏幕共享功能中的漏洞

漏洞详情

    这是18年tenable报告的漏洞，在Zoom会议中与会者可以选择共享屏幕。可以选择将控制权移交给其他与会者，就是类似于QQ的远程桌面查看和远程控制功能，这个功能有内置安全措施：参与者点击屏幕控制选项，发出请求/授予方法请求控制，会弹出一个提示给当前共享桌面的人员，必须单击“允许”（控制我的桌面），然后将正确的“ support_response_type ”值发送给Zoom服务器才能共享屏幕。不同于端到端的通信加密，“我容许别人控制我的电脑”的数据包要发送给zoom服务器，攻击者可以按照zoom协议伪造udp包发送给zoom服务器的8801端口，直接让任何人可以控制当前桌面。

远程桌面控制服务通信机制

    udp包没有加密也会导致攻击者可以伪造任意参会人员的聊天记录。

与Facebook 共享数据

漏洞详情

    即使没有Facebook帐户，Zoom iOS App也会将数据发送到Facebook。类似于安卓系统使用友盟的广告SDK上报了用户信息。任何IOS用户下载并打开zoom后将连接到Facebook的Graph API。Graph API是开发人员从Facebook上传下载数据的主要交互方式，上报用户设备的详细信息（例如型号，所连接的时区和城市，所使用的电信运营商以及由用户设备创建的唯一广告客户标识符）。后台可以使用广告定位用户。Zoom的隐私政策声明，该公司可能会收集用户的“ Facebook个人资料信息（当您使用Facebook登录我们的产品或为我们的产品创建帐户时）”，但并未明确提及会发送任何没有Facebook账户的客户的数据。

参会者注意力跟踪

漏洞详情

    Zoom呼叫的主机可以查看参与者是否打开了“ Zoom”窗口，这意味着他们可以监视人们是否可能正在关注。如果一名参会者超过30秒未聚焦Zoom，则主持人会在会议或网络研讨会的参会者面板中看到一个指示符。

参与者IP地址泄露

漏洞详情

    管理员还可以查看每个参与者的IP地址，类似于彩虹QQ显IP。

误导性的安装提示

漏洞详情

   zoom安装时通过误导性的提示让安装程序自动化，申请mac系统的最高权限时需要用户输入密码，zoom提示为“安装包将允许一个程序已检测程序是否可以正确安装”，这种提示一般是恶意软件的利用手法。

LinkedIn销售导航仪功能

漏洞详情

    注意力追踪器原本是用于企业培训的 ; 在公司的电话会议上，与一个显示用户工作信息的 LinkedIn 产品捆绑在一起，似乎并不危险。但是对于非公司的场景下，使用该插件有信息泄露的嫌疑。

内置的web服务器

漏洞详情

    这个漏洞类似于QQ客户端开启本地端口用localhost方便快捷登录的问题。详情参看https://www.freebuf.com/vuls/208177.html，是本地开启了19421的web端口，卸载后也不能移除，方便调用浏览器直接打开摄像头，被称为“ZOOM应用被曝严重安全漏洞 任何网站可劫持Mac摄像头”，这就是为什么安全专家建议用胶带盖住电脑摄像头了。

UNC安全问题

漏洞详情

    这种攻击涉及SMBRelay技术，其中Windows系统在尝试连接和下载托管文件时，会自动向远程SMB服务器公开用户的登录用户名和NTLM密码哈希。就是说对windows用户发送\黑客ip地址\c$,黑客就可以获取到凭证信息。

zoom炸弹

漏洞原理

    这个问题是指zoom的会议id过短，任何人可以通过挨个尝试的方式加入会议室。诸如“ Zoombombing”之类的事件变得如此普遍，黑客和网络喷子使其他用户的 Zoom 会议崩溃，以至于 FBI 不得不在周四发布防止此类事件发生的指导方针。

内阁会议也使用zoom软件

接入上面的会议id，你就可以参加英国内阁会议了。

数据中心错误划分

漏洞原理

    在正常操作期间，Zoom客户端会尝试连接到用户区域内或附近的一系列主要数据中心，网络拥堵时由备份数据中心提供服务，zoom原本计划确保中国境外的用户不会通过Zoom的中国大陆数据中心（包括基础设施在内），会议数据使用澳大利亚的通信提供商Telstra和Amazon Web Services提供设施。在今年2月份扩容时将中国的数据中心加入了备份计划，这可能使非中文客户端连接到中国区域。

会议加密

漏洞原理

    Zoom 此次曝光的一系列安全漏洞中，最主要的是没有在视频通话中使用端到端加密，仅在部分文本信息和部分模式的音频中使用了这一加密方式，但却在视频应用中显示Zoom is using end to end encrypted connection。

zoom的错误安全感

端到端是指参加会议的两个人之间，但是实际上zoom错误的理解为是从参会者到zoomserver之间。打个比方是参会者以为自己用的是对讲机，其实用的是电话，zoom作为基站可以获取到通信记录。

通信都经过zoom后台解密

    Zoom会议使用宣称使用256位AES密钥进行保护，但Citizen Lab研究人员证实，所使用的密钥实际上仅为128位。而且是只在 ECB 模式下使用了简单的 AES-128 密钥，这个ECB模式是AES可用模式中最差的一种。在以ECB模式加密的图像中，企鹅的轮廓仍然可见。

ecb显示了企鹅轮廓

    核心密钥由 Zoom 的服务器产生，部分密钥来自于中国，中国总共有 5台服务器，美国    有68台服务器，Zoom可能有法律义务向政府当局披露这些密钥。

zoom网络协议介绍

Zoom安全问题的三点启示

虽然Zoom是一家纯粹的美国科技创业公司，但是Zoom最近一周遭遇的“安全风暴”，足以引起中国科技公司的重视，在数字供应链全球化（我们尽量不掺杂经济和政治话题）的今天，即使你不是所谓的“出海”公司，也应当清醒地思考以下几个问题：

 

1,绕不过隐私和安全大坑是基因缺陷？

我们的一些科技企业为什么老是在隐私保护的大坑翻车？去年底小米生态链企业Wyze泄露北美240万用户数据（也涉及到数据回传中国服务器的指控）、前不久猎豹移动40多款应用被谷歌全线下架、微盟删库跑路……这些都是近半年来信手拈来的血迹未干的“成功创业”案例。这些公司真正重视过安全和隐私吗？有CPO（首席隐私官）吗？有年薪千万的CISO吗？有充足的网络安全预算和人才吗？有完善的风险管理、风险控制和安全运营架构吗？有基于安全做顶层设计、流程设计和产品设计的“安全设计”思维吗？董事会了解企业的安全现状、安全威胁和安全策略吗？这些企业是否考虑过，因为在国内行走江湖“赖以成名”的安全和隐私恶习“出海事发”，给后来的优秀科技企业在全球的市场的品牌形象上挖了多大的坑？

 2,网络安全就是生命，网络安全就是生产力，网络安全就是创新力。

这句话，不知道有几家企业真正理解了。笔者在一家融资上百亿的国内医药研发公司看到的网络安全问题，比“无症状新冠患者”还让人不寒而栗。在这个高度不确定的时代，唯一能够确定的一件事就是：如果没有安全，其他随时可能归零，无论你曾经多么“敏捷”、“颠覆“、平地起高楼。

3,开源不是甩锅器，也不是挡箭牌和救命草。

焦头烂额的Zoom创始人赌气说：“我做不好就开源。” 开源，确实是不少科技企业领导的御用宝锅，每当面临安全和隐私方面的问题和（海外）监管困境，不是正视问题反省策略寻求正面突破，而是选择用开源来作挡箭牌，这个思路是基于大众多年以来形成的一个错误常识：开源更加安全（如果非要加上两个字，就是终极）。

虽然Zoom出了不少安全问题，但不可以否认的Zoom是个非常棒的软件，希望它更重视安全性，提升安全等级，为大家提供更好服务。

文章来源：
https://www.cnbeta.com/articles/tech/963977.htm

https://mp.weixin.qq.com/s/a7mN0lTeXxA3YmZZxIGNRg

https://mp.weixin.qq.com/s/HVUiWMmIODAg0kLrjOeXHA

参考资料

https://blog.zoom.us/wordpress/2020/04/03/response-to-research-from-university-of-torontos-citizen-lab/

https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/

https://www.freebuf.com/vuls/208177.html

以上，便是今天的分享，希望大家喜欢，觉得内容不错的，欢迎转发或者点击「在看」支持，谢谢各位。






“扫一扫，关注Python乱炖”