Zoom開發(fā)至今，已經(jīng)九年了。在冠狀病毒流行期間，人們迫切需要一個(gè)易于使用的視頻會(huì)議應(yīng)用程序，因此，Zoom在一夜之間成為數(shù)百萬人所青睞的工具。

盡管Zoom是一種高效的在線視頻會(huì)議工具，但就隱私和安全性而言，它似乎不夠理想。

根據(jù)網(wǎng)絡(luò)安全專家@ _g0dmode的最新發(fā)現(xiàn)，這也得到研究人員Matthew Hickey和Mohamed A. Baset的證實(shí)，Windows的Zoom客戶端容易受到“ UNC路徑注入”漏洞的攻擊，該漏洞可能使遠(yuǎn)程攻擊者竊取Windows系統(tǒng)用戶的登錄憑據(jù)。

這種攻擊涉及SMBRelay技術(shù)，其中Windows系統(tǒng)在嘗試連接和下載托管文件時(shí)，會(huì)自動(dòng)向遠(yuǎn)程SMB服務(wù)器公開用戶的登錄用戶名和NTLM密碼哈希。

只有當(dāng)Windows的Zoom客戶端支持遠(yuǎn)程UNC路徑，該攻擊才可能發(fā)生，該路徑會(huì)將此類可能不安全的URL轉(zhuǎn)換為個(gè)人聊天或群聊中收件人的超鏈接。

要竊取運(yùn)行Windows用戶的登錄憑據(jù)，攻擊者需要做的就是通過其聊天界面向受害者發(fā)送一個(gè)精心制作的URL(即\\ xxxx \ abc_file)，如圖所示，然后等待受害者點(diǎn)擊，只需一次即可成功。

需要注意的是，攻擊者捕獲的密碼不是明文，但是可以使用HashCat或Ripper John等密碼破解工具，在幾秒鐘內(nèi)便可輕松破解一個(gè)薄弱的密碼。

在辦公環(huán)境這樣的共享網(wǎng)絡(luò)中，被盜的登錄詳細(xì)信息可以立即重用，來破壞其他用戶或IT資源，并發(fā)起進(jìn)一步的攻擊。

除了竊取Windows憑據(jù)外，還可以利用該漏洞啟動(dòng)目標(biāo)計(jì)算機(jī)上已經(jīng)存在的任何程序或下載其他程序，為攻擊者進(jìn)行社會(huì)工程學(xué)活動(dòng)做準(zhǔn)備。

Zoom已經(jīng)收到有關(guān)此漏洞的通知，但是由于尚未修復(fù)，建議用戶使用替代的視頻會(huì)議軟件或在Web瀏覽器中使用Zoom，代替其客戶端應(yīng)用程序避免被攻擊的風(fēng)險(xiǎn)。

除了使用安全密碼外，Windows用戶還可以更改安全策略設(shè)置，限制操作系統(tǒng)將其NTML憑據(jù)自動(dòng)傳遞給遠(yuǎn)程服務(wù)器。

正如前文所述，在過去兩天里，這不是Zoom被發(fā)現(xiàn)的唯一隱私或安全問題。就在昨天，另一份報(bào)告證實(shí)，盡管Zoom對(duì)用戶聲稱 “正在使用端到端加密連接”，但實(shí)際上，并未使用端到端加密來保護(hù)其用戶數(shù)據(jù)免遭窺視。

昨日，紐約總檢察長致信Zoom，要求公司處理敏感數(shù)據(jù)，要更透明，要切實(shí)采取措施保護(hù)用戶數(shù)據(jù)。信中除了提及Zoombombings的事件，還問及Zoom應(yīng)如何處理系統(tǒng)中存在的安全漏洞，包括允許惡意第三方訪問消費(fèi)者網(wǎng)絡(luò)攝像頭，以及類似于Facebook將數(shù)據(jù)共享給其他公司等問題。

對(duì)此，在3月30日，Zoom更新了隱私策略并對(duì)檢察長的致信作出了回應(yīng)：“我們感謝紐約州檢察長在這些問題上的參與，并很高興為她提供所要求的信息。”

據(jù)了解，Zoom近期曝出的安全問題層出不窮。就在上周，在曝出與Facebook服務(wù)器共享用戶設(shè)備信息后，Zoom更新了其iOS應(yīng)用程序，但是這還是引發(fā)了人們對(duì)其未能保護(hù)用戶隱私的擔(dān)憂。

今年早些時(shí)候，Zoom還修補(bǔ)了其軟件中的另一個(gè)隱私漏洞，該漏洞可能讓未被邀請(qǐng)的人參加私人會(huì)議，并遠(yuǎn)程竊聽整個(gè)會(huì)話，共享私人音頻、視頻和文檔。

用戶可采取的安全防御措施

1. 了解使用Zoom時(shí)的隱私注意事項(xiàng)

2. 為Zoom會(huì)議添加密碼

創(chuàng)建新的Zoom會(huì)議時(shí)，Zoom將自動(dòng)啟用“需要會(huì)議密碼”設(shè)置并分配一個(gè)隨機(jī)的6位數(shù)字密碼。盡量不要取消選中此選項(xiàng)，因?yàn)檫@樣做將允許任何人未經(jīng)許可訪問會(huì)議。

3. 使用等候室功能

Zoom允許主持人(創(chuàng)建會(huì)議的主持人)啟用等候室功能，該功能可以防止用戶未經(jīng)主持人允許就進(jìn)入會(huì)議?？梢栽跁?huì)議創(chuàng)建期間通過以下方式啟用此功能：打開高級(jí)設(shè)置，選中“啟用候診室”設(shè)置，然后單擊“保存”按鈕。

4. 及時(shí)更新Zoom客戶端

最新的Zoom更新默認(rèn)情況下啟用會(huì)議密碼，并增加了對(duì)掃描會(huì)議ID的人員的保護(hù)。

5. 不要分享個(gè)人的會(huì)議ID

每個(gè)Zoom用戶都會(huì)獲得一個(gè)與其帳戶相關(guān)聯(lián)的永久“個(gè)人會(huì)議ID”(PMI)。如果將個(gè)人的PMI交給其他人，他們將始終能夠檢查是否有正在進(jìn)行的會(huì)議，如果未配置密碼，則有可能加入會(huì)議。

6. 禁用參與者屏幕共享

為防止會(huì)議被他人劫持，應(yīng)防止主持人以外的其他參與者共享他們的屏幕。作為主持人，可以在會(huì)議中通過單擊“縮放”工具欄中“共享屏幕”旁邊的向上箭頭，然后單擊“高級(jí)共享選項(xiàng)”來完成此操作，如下所示。

7. 每個(gè)人加入完畢后鎖定會(huì)議

如果每個(gè)人都參加了會(huì)議，并且沒有邀請(qǐng)其他人，則應(yīng)該鎖定會(huì)議，這樣其他人就不能參加。為此，請(qǐng)單擊“縮放”工具欄上的“管理參與者”按鈕，然后在“參與者”窗格底部選擇“更多”。然后選擇“鎖定會(huì)議”選項(xiàng)，如下所示。

8. 不要發(fā)布Zoom的會(huì)議圖片

如果為Zoom會(huì)議拍照，那么看到此照片的任何人都將能夠看到其相關(guān)會(huì)議ID，然后可以嘗試進(jìn)入該會(huì)議。攻擊者可能會(huì)使用它來嘗試通過顯示的ID手動(dòng)加入來獲得未經(jīng)授權(quán)的會(huì)議訪問權(quán)限。

9. 不要發(fā)布會(huì)議的公共鏈接

創(chuàng)建Zoom會(huì)議時(shí)，切勿公開發(fā)布會(huì)議鏈接。 這樣做會(huì)使諸如Google之類的搜索引擎對(duì)鏈接建立索引，并使搜索它們的任何人都可以訪問它們。

10. 警惕以Zoom為主題的惡意軟件

自冠狀病毒爆發(fā)以來，制造惡意軟件、網(wǎng)絡(luò)釣魚詐騙和其他與疫情相關(guān)的攻擊的威脅參與者數(shù)量迅速增加，這包括偽裝為Zoom客戶端安裝程序的惡意軟件和廣告軟件安裝程序。