在疫情的影響下，Zoom 迎來發(fā)展中的“高光時刻”，但與此同時也陷入“安全與隱私”危機。目前，NASA 和 SpaceX 宣布禁止使用 Zoom。

4 月 2 日，Zoom 創(chuàng)始人兼CEO 袁征宣布：在接下來的 90 天內(nèi)將停止 Zoom 的功能更新，轉向安全維護和 BUG 修復。據(jù)悉，Zoom 會投入資源去識別、定位和解決問題，甚至會邀請第三方參與對軟件進行“全面審查”。

據(jù)袁征介紹，目前 Zoom 的日活用戶數(shù)達到了 2 億，這是構建平臺之初沒有預計到的規(guī)模，因此也帶來了沒有估量到的安全和隱私問題。

的確，因為新冠肺炎疫情的全球蔓延，使得多個國家和地區(qū)的人民不得不選擇在家辦公或學習，Zoom 也因此得到了巨大的流量和新增用戶，根據(jù) Apptopia 的數(shù)據(jù)，Zoom 的 3 月份活躍用戶較去年同期增長了 151%。

Zoom 本該正是處于“高光時刻”，但現(xiàn)在卻深陷“安全與隱私”的泥沼。僅僅一周的時間，Zoom 就先后被曝出向 Facebook 發(fā)送用戶數(shù)據(jù)、泄露 Windows 登錄憑證、未經(jīng)用戶同意通過預加載方式下載應用程序、未按宣傳所言采用端到端的加密方式等安全問題，也正是因為這些問題，NASA 和 SpaceX 宣布禁止使用 Zoom。

1. 用戶毫不知情，Zoom 就把數(shù)據(jù)共享給了 Facebook

Motherboard 網(wǎng)站發(fā)現(xiàn)，Zoom iOS 應用正在通過“使用 Facebook 登錄”功能將數(shù)據(jù)發(fā)送到 Facebook，發(fā)送的數(shù)據(jù)包括手機型號、打開程序的時間、所在時區(qū)和城市、使用的電信運營商，甚至還包括了可用于廣告定位的標識符。

據(jù)悉，Zoom 使用 Facebook SDK 實現(xiàn)的“Facebook 登錄”功能，主要是為了給用戶提供訪問平臺的便利方法。但是在調(diào)查中發(fā)現(xiàn)，即使你不是 Facebook 用戶，也會被收集信息。

整個數(shù)據(jù)共享的過程是這樣的：用戶下載打開 App 后，Zoom 就會連接到 Facebook 的 Graph API。而這個 Graph API 就是開發(fā)者與臉書交流數(shù)據(jù)的主要方式。

Zoom 表示：“Facebook SDK 功能確實在從用戶收集數(shù)據(jù)，但是收集的數(shù)據(jù)不包括個人用戶信息，而是包含用戶設備的數(shù)據(jù)。”

隨后，Zoom 更新了 iOS 應用程序的版本，并改進了 Facebook 登錄功能。刪除了 Facebook SDK，重置該功能，用戶仍然可以通過瀏覽器使用 Facebook 賬戶登錄 Zoom，但是需要更新到最新版本，該功能才會生效。

2. Zoom 客戶端泄漏 Windows 登錄憑證

根據(jù)外媒報道，Zoom Windows 客戶端很容易受到 NUC 路徑注入的攻擊，攻擊者可能會利用此路徑竊取單擊鏈接的用戶 Windows 憑證。

據(jù)了解，使用 Zoom 發(fā)送聊天消息時，發(fā)送的所有 URL 都會經(jīng)過轉換，方便其它聊天者點擊，并在默認瀏覽器中打開。安全研究員 @ _g0dmode 發(fā)現(xiàn)，Zoom 客戶端竟然將 Windows 網(wǎng)絡的 UNC 路徑也換成了這種可單擊的鏈接。

常規(guī) URL 和 UNC 路徑（\evil.server.com\images\cat.jpg）都被轉換為可單擊的鏈接

當用戶單擊 UNC 路徑鏈接時，Windows 會嘗試使用 SMB 文件共享協(xié)議連接到遠程站點，打開遠程路徑中的 cat.jpg 文件。在默認情況下，Windows 將發(fā)送用戶的登錄名和 NTLM 密碼哈希值，在這個階段，如果是個有經(jīng)驗的攻擊者，就可以借助 Hashcat 等免費工具來逆向運算。

安全研究人員 Matthew Hickey 對此進行了實測，并證實不但能在 Zoom 中順利注入，而且可以借助民用級 GPU 和 CPU 來快速破解。除了能竊取到 Windows 登錄憑證，UNC 注入還可以啟動本地計算機上的程序，例如 CMD 命令提示符。

16 秒暴力破解簡單密碼

不過，幸運的是 Windows 會在程序被執(zhí)行前發(fā)出是否允許其運行的提示。但想要真正解決這個問題，Zoom 必須屏蔽部分可單擊的鏈接，停止 Windows 客戶端的 UNC 路徑轉換功能。

3. APP “自動”安裝？Zoom 預安裝腳本引爭議

3 月 31 日，Twitter 用戶 Felix 發(fā)文稱：“Zoom macOS 安裝程序在用戶沒有同意的情況下，會自動安裝，并且還會使用具有高度誤導性的標題來獲取用戶權限，這與 macOS 惡意軟件的‘套路’如出一轍。”

據(jù)了解，Zoom 會使用預安裝腳本，使用捆綁的 7zip 手動解壓縮應用程序，如果當前用戶在 admin 組中 (不需要 root)，則將其安裝到 / Applications。隨后，Zoom 做出回應，表示采用這種做法的目的是為了減少安裝過程的復雜性，因為在 Mac 上安裝 Zoom 并不容易，并認同了 Felix 的觀點，未來會繼續(xù)改進。

Felix 對這個解釋并不認可，他認為提高可用性不應該犧牲安全性，Zoom 作為被廣泛使用的應用程序，這一做法雖然沒有惡意，但卻極為不妥。

Felix 詳細描述了 Zoom macOS 預安裝腳本是如何工作的？

首先，Zoom 會使用 pkg 文件（一種安裝程序格式，類似于 Windows 的 MSI）在 macOS 上分發(fā)客戶端，在用戶加入 Zoom 的某個會議時，系統(tǒng)會提示用戶下載并允許軟件。通常情況下，用戶是可以在該步驟中進行自定義和確認安裝的操作。但是，Zoom 的安裝程序則跳過了這些步驟，要求允許“pre-requirement”腳本運行，該腳本通常是在正式安裝之前運行，用來檢測軟件是否與計算機兼容。

需要注意的是，雖然“pre-requirement”腳本在運行之前會提示用戶，但提示信息卻是“will determine if the software can be installed”，一般來說，用戶會點擊 Continue，但你不知道這時 Zoom 已經(jīng)開始安裝了。Zoom 安裝程序，不僅會執(zhí)行預安裝檢查，還會作為腳本的一部分執(zhí)行整個安裝。更騷的操作是，安裝程序還附帶了一個捆綁版本的 7zip，可以解壓縮。

如果用戶是 admin，那么腳本會將提取到的客戶端直接復制到 /Applications 目錄中，并進行一些清理工作，就完成安裝；如果用戶沒有權限寫入 /Applications，且尚未安裝 Zoom 客戶端，那么，將會被復制到本地應用程序目錄 /Users//Applications；如果用戶已經(jīng)在 /Applications 中安裝 Zoom，但沒有權限更新，那么該腳本會啟動“ zoomAutenticationTool”輔助工具（同樣被打包在 pkg 文件中），該工具使用已廢棄的 AuthorizationExecuteWithPrivileges() 系統(tǒng) API 來顯示密碼提示，以便運行具有 root 權限的“runwithroot”腳本。

4. 所謂的端到端加密是“謊言”？

全球疫情的發(fā)展，使得很多企業(yè)不得不選擇遠程辦公的方式，這時遠程辦公和協(xié)作工具的加密問題就顯得尤為重要。

近日，有外媒報道 Zoom 在安全白皮書中提到了其支持端到端加密，但實際并沒有為所有視頻會議提供此類加密方式，存在誤導用戶的嫌疑。

隨后，Zoom 發(fā)言人表示目前不可能為視頻會議提供端到端加密。但否認了“誤導用戶”的說法，并稱白皮書中的“端到端”指的是 Zoom 到 Zoom 之間的連接。

據(jù)了解，Zoom 目前使用的是 TLS 加密，即 Zoom 服務器到用戶個人之間的傳輸是處于加密狀態(tài)的。而端到端加密是指在設備之間對所有通信進行加密，從而使托管服務的組織也無法訪問聊天的內(nèi)容。如果是 TLS 加密，Zoom 可以攔截解密視頻、聊天和其他數(shù)據(jù)。

值得注意的是，英國首相鮑里斯·約翰遜（Boris Johnson）周二在 Twitter 上分享了“the first ever digital Cabinet”的屏幕截圖，圖片顯示多位官員在使用 Zoom 進行視頻會議。這也引發(fā)了大家對于 Zoom 安全性的討論。

[[321001]]

5. 安全問題頻出，NASA 與 SpaceX 宣布禁用 Zoom

3 月 28 日，SpaceX 給員工發(fā)布了一封電子郵件，要求員工停止使用 Zoom，“我們知道有很多員工在使用 Zoom 進行視頻會議，現(xiàn)在請你們使用電子郵件、短信以及電話來代替 Zoom。”

據(jù)了解，SpaceX 禁用 Zoom 的原因是其存在著“嚴重的隱私和安全性問題”。美國了聯(lián)邦調(diào)查局（FBI）在本周一也發(fā)布了一則關于 Zoom 的警告，提醒用戶不要在該網(wǎng)站上進行公開會議或廣泛分享鏈接。

值得關注的是，除了 SpaceX，該公司最大的客戶之一美國國家航空航天局（NASA）也宣布禁止員工使用 Zoom。

6. 被盯上了？偽裝成 Zoom 的釣魚網(wǎng)站分發(fā)惡意軟件

“人怕出名豬怕壯”，“流量擔當”的 Zoom 不止自己問題頻出，還被某些有心人士“盯上”了。近日，有網(wǎng)絡犯罪分子通過注冊虛假的“Zoom”域名和惡意的“Zoom”可執(zhí)行文件來誘導用戶下載惡意軟件。

根據(jù) Check Point Research 最新發(fā)布的一項報告，自新冠病毒流行以來，已經(jīng)注冊了 1700 多個新的“Zoom”域名，其中 25% 的域名是在過去的 7 天中注冊的。

此外，研究人員還檢測到“ zoom-us-zoom _ ############.exe”和“ microsoft-teams_V#mu#D_##########.exe”惡意文件，其中＃代表各種數(shù)字。這類惡意軟件會在用戶的計算機中安裝 InstallCore PUA，從而導致其他惡意軟件的捆綁安裝。

當然，Zoom 并不是攻擊者的唯一目標，隨著疫情的發(fā)展，各個國家和地區(qū)都開始鼓勵學生在線學習，因此在線學習平臺也成為了攻擊目標，研究人員發(fā)現(xiàn)了偽裝成合法 Google Classroom 的釣魚網(wǎng)站，例如 googloclassroom \ .com 和 googieclassroom \ .com，來誘導用戶下載惡意軟件。