大家好，我是 零日情報局。

本文首發於公眾號 零日情報局，微信ID：lingriqingbaoju。 

風口浪尖的Zoom，又上新聞頭條了。只不過，這次不是曝出漏洞，而是隱蔽的高危漏洞，被黑客開價50萬美金全網叫賣。

目前，漏洞詳情還未曝光，但賣家已透露利用該漏洞可直接監視Zoom使用者視訊及呼叫。這就意味著，普通人中招是隱私洩露，政企付費使用者中招那就可能是工業間諜活動。

危機二月，Zoom像做著火箭般一飛沖天；轉眼三月，頻頻暴雷深陷安全旋渦；直到四月，遲遲推出安全措施，但已上了NASA、英國政府、SpaceX等組織機構的安全黑名單。

急轉直下看似坐雲霄飛車，可在零日看來，Zoom掉入安全雷區的背後，卻源自內部長期忽視安全建設、技術實力弱，以及外部遭遇黑客圍堵三方面原因。

原因一：長期忽視安全建設

底層安全建設埋雷。Zoom火於當下，卻開發於9年前。作為一款專攻雲視訊會議的軟體，Zoom主打的是體驗、功能、容量、簡單、價效比。看似基於使用者需求，且穩紮穩打的耗時9年積累了1000萬活躍使用者。但這裡始終沒有強調過安全能力，應用安全、資料安全、通訊安全彷彿從不是Zoom考慮的問題。也許，即使沒有遇到當下的風口，Zoom安全暴雷也是遲早的事情。

英國首相使用zoom

安全隱患早露端倪。就像問題的暴露，不僅是單純的質變還要有量的積累，2019年活躍使用者逼近千萬時，Zoom開始曝出資料安全與隱私問題。Mac Zoom Client曝出允許任何惡意網站，可在未經許下啟用攝像頭的漏洞，或導致全世界75萬Zoom企業使用者曝光。風波剛過，又緊接著曝出Zoom被黑客監聽通話。激起水花不大，卻暴露了安全短板。

隱患由來已久，安全管理上也存在問題。參照蘋果、谷歌、微軟這些巨頭，曝出漏洞後常常第一時間修復，少有Zoom這樣遲緩的安全響應機制。19年3月，安全廠商向Zoom上報了兩個安全漏洞。而Zoom的響應速度是，先花10天時間確認漏洞，再用長達2個半月時間，直到6月才開始修復漏洞，期間Zoom就這樣“帶洞裸奔”。

Zoom憑風而起，使用者激增安全問題卻依舊按部就班。資料洩露、boomZoom……3月Zoom安全問題刷屏，但直到4月1日愚人節，Zoom創始人才正式在官網釋出告使用者書，不過期待安全解決方案的人要失望了。針對一系列安全問題，Zoom給出了相應的解決辦法，是宣佈暫停更新，集中工程師解決安全問題，但時間週期是90天。

我們們中國有句話叫德不配位，說的是德行無法匹配地位，而Zoom從頭到尾對安全問題的忽視，以及拖沓的步調，正是做著超出自己安全能力邊界的事情。

原因二：技術弱是原罪

表面來看是Zoom忽視安全，深究則與Zoom安全技術存在短板脫不開關係。

從設計邏輯到技術的全形度安全問題。將使用者資料傳送到Facebook，允許虛擬會議主持人追蹤參會者資料，陌生人利用截獲會議編號或連結，侵入視訊會議，惡作劇甚至釋出仇恨言論、不雅圖片，以及的雲端儲存空間一次性洩露的15000會議視訊……Zoom一再重新整理著我們對安全底線的認知。

Zoom Bombing惡作劇入侵會議

任何賬戶都可被破解（已修正）

Zoom安裝程式被植入而已挖礦軟體

虛假的隱私保密技術。端到端加密是被認為最私密的網際網路通訊方式，而宣稱使用端到端加密的Zoom，卻言過其實。Citizen Lab報告證實，Zoom實際上只在ECB模式下使用了簡單的AES-128金鑰。換句話說，Zoom這個“郵差”能看視訊“信件”的內容，而且“接頭暗號”太過簡單，難以保證使用者通訊安全。

加拿大「The Citizen Lab」實測Zoom加密僅達AES-128 水平

不靠譜的程式碼開源預備案。3月，Zoom創始人公開表示，如果安全問題不解決，會考慮開源Zoom程式碼。從理論上來說閉原始碼開源，是件可能觸及商業模式的問題。但從安全問題上來看，卻透著一絲“甩鍋”的嫌疑。既然我自己沒法解決安全問題，那就程式碼開源，企業使用者自己動手吧。顯然，這並不是補齊安全技術短板的最優解。

從開發、建設到解決問題的能力，Zoom一直在暴露自身安全技術不足。安全技術差不丟人，但一邊收費一邊無法保證2億月活使用者的安全需求，就是錯。

原因三：走熱成黑客圍堵目標

內部存在安全短板，並不能最終使其短時間陷入安全旋渦，遠端辦公、線上社交的大潮下，一方面推動Zoom迎來幾何式增長，另一方面也讓其成為了各路黑客眼中的肥羊。

遭遇黑客密集火力。安全問題暴露初期，Zoom面對的是黑客倒賣平臺賬號的資料安全問題，而經過一個多月的發展，Zoom已成為黑客五十萬美金倒賣應用漏洞的存在。對黑客來說，Zoom成為了盛產漏洞商品的原生土壤，隨時讓他們做起無本萬利的生意。

本季黑客眼裡最肥目標。2020年第一季度，Zoom日活增加20倍，從千萬飆升至2億，一躍成為全球第一視訊會議軟體。而2億月活使用者的背後，是代表著難以估量的公司、學校與機構，這對黑客來說，潛伏Zoom軟體中撈到大魚的可能，遠高於其他平臺。

遭遇黑客高頻行動期。拋開Zoom本身不談，疫情突襲遠端辦公成常態的大環境下，安全隱患與頻繁的黑客攻擊同時到來。從針對普通網友、瞄準醫療機構到盯上政府機構，黑客攻擊行動變得高頻且密集，Zoom也就迎來了安全大考。

有媒體說這是少年Zoom的煩惱，可往往只有你弱的時候，壞人才最多。安全技術不過關，在黑客眼裡也只有那句，“他還是個孩子，我們不能放過他”最為貼切。

風口上的Zoom成敗尚早

在風口上，豬也能飛起來！Zoom雖不是豬，卻實實在在是起飛後，才徹底暴露了安全的短板。即使Zoom刪除了iOS客戶端中的Facebook SDK、更新了隱私政策、提出了90天計劃……做出一系列安全補救措施，但對2億+付費使用者，以及廣大政企使用者來說，遠沒有為了便捷犧牲安全，或是一句空頭補救支票等待Zoom的安全升級。

疫情之下，美股10天曆經4次熔斷，在一片跳崖式下跌中，Zoom股價三個月內飆漲70%，可謂十分的驚豔。但你不努力，自然有人努力取代你。雲視訊會議風口下，華為、思科WebEx、寶利通、微軟Skype、谷歌等巨頭正躍躍欲試的殺個回馬槍，Zoom“炸子雞”的優勢正在喪失。

零日反思

2019年上市當天，Zoom市值159億美元，而到了2020年4月16日16時收盤，Zoom美股市值高達419億美元（約合人民幣2962.33億元），依然是一個勢頭凶猛的獨角獸。本文沒有任何詆譭Zoom的成分，不過真心建議Zoom認真對待安全問題。

雖然已經聘請了Facebook前資訊保安負責人擔任安全顧問，著手應用安全升級，其實可以考慮尋找第三方企業，提供安全技術支援，2億月活使用者真心來之不易。

零日情報局作品

微信公眾號：lingriqingbaoju

如需轉載，請後臺留言

歡迎分享朋友圈

參考資料：

[1] 智東西《53萬賬號被賣！細數ZOOM“十宗罪”，風口浪尖的雲會議江湖》

[2] 極客公園 《少年 Zoom 的煩惱》

[3] 時代週報《安全記錄譭譽參半 Zoom深陷成長的煩惱》

[4] 藍鯨財經《誰來擠破zoom的泡沫？》