注意!Zoom被爆重大安全漏洞!!!

冠状病毒疫情期间,视频会议软件使用量激增,其中表现尤其抢眼的软件就是Zoom。Zoom的日活跃用户从去年12月份的1000万人激增到现在的2亿人,成为了视频会议软件中的当红炸子鸡,无法出门的欧美用户用Zoom开会、上课、做培训,探亲、访友、看医生,甚至连办婚礼、开葬礼这样的事也被Zoom承包了。

Zoom最吸引人的就是“简单好用”,但“简单好用”的代价就是安全漏洞多,隐私问题没办法保证。

数万隐私视频遭泄漏,源于视频命名方式?

15000个视频被公开

近日,华盛顿邮报又报道出Zoom存在的重大安全漏洞:数以万计的私人Zoom视频被上传至公开网页,任何人都可在线围观!很惊悚有没有!

向华盛顿邮报爆料的是美国国家安全局的前研究员帕特里克·杰克逊(Patrick Jackson),他爆料称在开放的云存储空间中一次性搜到了15000个Zoom视频。

华盛顿邮报依着这条线索看到的Zoom视频包括:一对一治疗方案;远程医疗呼叫人员最新的培训方向,其中还有参会人员的名字和电话号码;小公司开会视频,带财务报表的那种;小学生上网课,孩子的脸、声音和样貌细节都能看见。很多视频都包含个人可识别信息,还有在家里进行的很多私密谈话,甚至还有美容师传授脱毛技巧的裸露视频。

zoom爆安全漏洞也不是一回二回了,下面是来源于"安全乐观主义"公众号收集的zoom漏洞大全。

  1. 与Facebook 共享数据

  2. 参会者注意力跟踪

  3. 参与者IP地址泄露

  4. 误导性的安装提示

  5. LinkedIn销售导航仪功能

  6. 内置的web服务器

  7. UNC安全问题

  8. zoom炸弹

  9. 数据中心错误划分

  10. 会议加密

屏幕共享功能中的漏洞

漏洞详情

    这是18年tenable报告的漏洞,在Zoom会议中与会者可以选择共享屏幕。可以选择将控制权移交给其他与会者,就是类似于QQ的远程桌面查看和远程控制功能,这个功能有内置安全措施:参与者点击屏幕控制选项,发出请求/授予方法请求控制,会弹出一个提示给当前共享桌面的人员,必须单击“允许”(控制我的桌面),然后将正确的“ support_response_type ”值发送给Zoom服务器才能共享屏幕。不同于端到端的通信加密,“我容许别人控制我的电脑”的数据包要发送给zoom服务器,攻击者可以按照zoom协议伪造udp包发送给zoom服务器的8801端口,直接让任何人可以控制当前桌面。

远程桌面控制服务通信机制

    udp包没有加密也会导致攻击者可以伪造任意参会人员的聊天记录。

与Facebook 共享数据

漏洞详情

    即使没有Facebook帐户,Zoom iOS App也会将数据发送到Facebook。类似于安卓系统使用友盟的广告SDK上报了用户信息。任何IOS用户下载并打开zoom后将连接到Facebook的Graph API。Graph API是开发人员从Facebook上传下载数据的主要交互方式,上报用户设备的详细信息(例如型号,所连接的时区和城市,所使用的电信运营商以及由用户设备创建的唯一广告客户标识符)。后台可以使用广告定位用户。Zoom的隐私政策声明,该公司可能会收集用户的“ Facebook个人资料信息(当您使用Facebook登录我们的产品或为我们的产品创建帐户时)”,但并未明确提及会发送任何没有Facebook账户的客户的数据。

参会者注意力跟踪

漏洞详情

    Zoom呼叫的主机可以查看参与者是否打开了“ Zoom”窗口,这意味着他们可以监视人们是否可能正在关注。如果一名参会者超过30秒未聚焦Zoom,则主持人会在会议或网络研讨会的参会者面板中看到一个指示符。

参与者IP地址泄露

漏洞详情

    管理员还可以查看每个参与者的IP地址,类似于彩虹QQ显IP。

误导性的安装提示

漏洞详情

   zoom安装时通过误导性的提示让安装程序自动化,申请mac系统的最高权限时需要用户输入密码,zoom提示为“安装包将允许一个程序已检测程序是否可以正确安装”,这种提示一般是恶意软件的利用手法。

LinkedIn销售导航仪功能

漏洞详情

    注意力追踪器原本是用于企业培训的 ; 在公司的电话会议上,与一个显示用户工作信息的 LinkedIn 产品捆绑在一起,似乎并不危险。但是对于非公司的场景下,使用该插件有信息泄露的嫌疑。

内置的web服务器

漏洞详情

    这个漏洞类似于QQ客户端开启本地端口用localhost方便快捷登录的问题。详情参看https://www.freebuf.com/vuls/208177.html,是本地开启了19421的web端口,卸载后也不能移除,方便调用浏览器直接打开摄像头,被称为“ZOOM应用被曝严重安全漏洞 任何网站可劫持Mac摄像头”,这就是为什么安全专家建议用胶带盖住电脑摄像头了。

UNC安全问题

漏洞详情

    这种攻击涉及SMBRelay技术,其中Windows系统在尝试连接和下载托管文件时,会自动向远程SMB服务器公开用户的登录用户名和NTLM密码哈希。就是说对windows用户发送\黑客ip地址\c$,黑客就可以获取到凭证信息。

zoom炸弹

漏洞原理

    这个问题是指zoom的会议id过短,任何人可以通过挨个尝试的方式加入会议室。诸如“ Zoombombing”之类的事件变得如此普遍,黑客和网络喷子使其他用户的 Zoom 会议崩溃,以至于 FBI 不得不在周四发布防止此类事件发生的指导方针。

内阁会议也使用zoom软件

接入上面的会议id,你就可以参加英国内阁会议了。

数据中心错误划分

漏洞原理

    在正常操作期间,Zoom客户端会尝试连接到用户区域内或附近的一系列主要数据中心,网络拥堵时由备份数据中心提供服务,zoom原本计划确保中国境外的用户不会通过Zoom的中国大陆数据中心(包括基础设施在内),会议数据使用澳大利亚的通信提供商Telstra和Amazon Web Services提供设施。在今年2月份扩容时将中国的数据中心加入了备份计划,这可能使非中文客户端连接到中国区域。

会议加密

漏洞原理

    Zoom 此次曝光的一系列安全漏洞中,最主要的是没有在视频通话中使用端到端加密,仅在部分文本信息和部分模式的音频中使用了这一加密方式,但却在视频应用中显示Zoom is using end to end encrypted connection

zoom的错误安全感

端到端是指参加会议的两个人之间,但是实际上zoom错误的理解为是从参会者到zoomserver之间。打个比方是参会者以为自己用的是对讲机,其实用的是电话,zoom作为基站可以获取到通信记录。

通信都经过zoom后台解密

    Zoom会议使用宣称使用256位AES密钥进行保护,但Citizen Lab研究人员证实,所使用的密钥实际上仅为128位。而且是只在 ECB 模式下使用了简单的 AES-128 密钥,这个ECB模式是AES可用模式中最差的一种。在以ECB模式加密的图像中,企鹅的轮廓仍然可见。

ecb显示了企鹅轮廓

    核心密钥由 Zoom 的服务器产生,部分密钥来自于中国,中国总共有 5台服务器,美国    有68台服务器,Zoom可能有法律义务向政府当局披露这些密钥。

zoom网络协议介绍

Zoom安全问题的三点启示

虽然Zoom是一家纯粹的美国科技创业公司,但是Zoom最近一周遭遇的“安全风暴”,足以引起中国科技公司的重视,在数字供应链全球化(我们尽量不掺杂经济和政治话题)的今天,即使你不是所谓的“出海”公司,也应当清醒地思考以下几个问题:

 

1,绕不过隐私和安全大坑是基因缺陷?

我们的一些科技企业为什么老是在隐私保护的大坑翻车?去年底小米生态链企业Wyze泄露北美240万用户数据(也涉及到数据回传中国服务器的指控)、前不久猎豹移动40多款应用被谷歌全线下架、微盟删库跑路……这些都是近半年来信手拈来的血迹未干的“成功创业”案例。这些公司真正重视过安全和隐私吗?有CPO(首席隐私官)吗?有年薪千万的CISO吗?有充足的网络安全预算和人才吗?有完善的风险管理、风险控制和安全运营架构吗?有基于安全做顶层设计、流程设计和产品设计的“安全设计”思维吗?董事会了解企业的安全现状、安全威胁和安全策略吗?这些企业是否考虑过,因为在国内行走江湖“赖以成名”的安全和隐私恶习“出海事发”,给后来的优秀科技企业在全球的市场的品牌形象上挖了多大的坑?

 2,网络安全就是生命,网络安全就是生产力,网络安全就是创新力。


这句话,不知道有几家企业真正理解了。笔者在一家融资上百亿的国内医药研发公司看到的网络安全问题,比“无症状新冠患者”还让人不寒而栗。在这个高度不确定的时代,唯一能够确定的一件事就是:如果没有安全,其他随时可能归零,无论你曾经多么“敏捷”、“颠覆“、平地起高楼。

3,开源不是甩锅器,也不是挡箭牌和救命草。

焦头烂额的Zoom创始人赌气说:“我做不好就开源。” 开源,确实是不少科技企业领导的御用宝锅,每当面临安全和隐私方面的问题和(海外)监管困境,不是正视问题反省策略寻求正面突破,而是选择用开源来作挡箭牌,这个思路是基于大众多年以来形成的一个错误常识:开源更加安全(如果非要加上两个字,就是终极)。

虽然Zoom出了不少安全问题,但不可以否认的Zoom是个非常棒的软件,希望它更重视安全性,提升安全等级,为大家提供更好服务。

文章来源:
https://www.cnbeta.com/articles/tech/963977.htm

https://mp.weixin.qq.com/s/a7mN0lTeXxA3YmZZxIGNRg

https://mp.weixin.qq.com/s/HVUiWMmIODAg0kLrjOeXHA

参考资料

https://blog.zoom.us/wordpress/2020/04/03/response-to-research-from-university-of-torontos-citizen-lab/

https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/

https://www.freebuf.com/vuls/208177.html

以上,便是今天的分享,希望大家喜欢,觉得内容不错的,欢迎转发或者点击「在看」支持,谢谢各位。






“扫一扫,关注Python乱炖”
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值