大家好,我是 零日情報局。
本文首發於公眾號 零日情報局,微信ID:lingriqingbaoju。
風口浪尖的Zoom,又上新聞頭條了。只不過,這次不是曝出漏洞,而是隱蔽的高危漏洞,被黑客開價50萬美金全網叫賣。
目前,漏洞詳情還未曝光,但賣家已透露利用該漏洞可直接監視Zoom使用者視訊及呼叫。這就意味著,普通人中招是隱私洩露,政企付費使用者中招那就可能是工業間諜活動。
危機二月,Zoom像做著火箭般一飛沖天;轉眼三月,頻頻暴雷深陷安全旋渦;直到四月,遲遲推出安全措施,但已上了NASA、英國政府、SpaceX等組織機構的安全黑名單。
急轉直下看似坐雲霄飛車,可在零日看來,Zoom掉入安全雷區的背後,卻源自內部長期忽視安全建設、技術實力弱,以及外部遭遇黑客圍堵三方面原因。
原因一:長期忽視安全建設
底層安全建設埋雷。Zoom火於當下,卻開發於9年前。作為一款專攻雲視訊會議的軟體,Zoom主打的是體驗、功能、容量、簡單、價效比。看似基於使用者需求,且穩紮穩打的耗時9年積累了1000萬活躍使用者。但這裡始終沒有強調過安全能力,應用安全、資料安全、通訊安全彷彿從不是Zoom考慮的問題。也許,即使沒有遇到當下的風口,Zoom安全暴雷也是遲早的事情。
英國首相使用zoom
安全隱患早露端倪。就像問題的暴露,不僅是單純的質變還要有量的積累,2019年活躍使用者逼近千萬時,Zoom開始曝出資料安全與隱私問題。Mac Zoom Client曝出允許任何惡意網站,可在未經許下啟用攝像頭的漏洞,或導致全世界75萬Zoom企業使用者曝光。風波剛過,又緊接著曝出Zoom被黑客監聽通話。激起水花不大,卻暴露了安全短板。
隱患由來已久,安全管理上也存在問題。參照蘋果、谷歌、微軟這些巨頭,曝出漏洞後常常第一時間修復,少有Zoom這樣遲緩的安全響應機制。19年3月,安全廠商向Zoom上報了兩個安全漏洞。而Zoom的響應速度是,先花10天時間確認漏洞,再用長達2個半月時間,直到6月才開始修復漏洞,期間Zoom就這樣“帶洞裸奔”。
Zoom憑風而起,使用者激增安全問題卻依舊按部就班。資料洩露、boomZoom……3月Zoom安全問題刷屏,但直到4月1日愚人節,Zoom創始人才正式在官網釋出告使用者書,不過期待安全解決方案的人要失望了。針對一系列安全問題,Zoom給出了相應的解決辦法,是宣佈暫停更新,集中工程師解決安全問題,但時間週期是90天。
我們們中國有句話叫德不配位,說的是德行無法匹配地位,而Zoom從頭到尾對安全問題的忽視,以及拖沓的步調,正是做著超出自己安全能力邊界的事情。
原因二:技術弱是原罪
表面來看是Zoom忽視安全,深究則與Zoom安全技術存在短板脫不開關係。
從設計邏輯到技術的全形度安全問題。將使用者資料傳送到Facebook,允許虛擬會議主持人追蹤參會者資料,陌生人利用截獲會議編號或連結,侵入視訊會議,惡作劇甚至釋出仇恨言論、不雅圖片,以及的雲端儲存空間一次性洩露的15000會議視訊……Zoom一再重新整理著我們對安全底線的認知。
Zoom Bombing惡作劇入侵會議
任何賬戶都可被破解(已修正)
Zoom安裝程式被植入而已挖礦軟體
虛假的隱私保密技術。端到端加密是被認為最私密的網際網路通訊方式,而宣稱使用端到端加密的Zoom,卻言過其實。Citizen Lab報告證實,Zoom實際上只在ECB模式下使用了簡單的AES-128金鑰。換句話說,Zoom這個“郵差”能看視訊“信件”的內容,而且“接頭暗號”太過簡單,難以保證使用者通訊安全。
加拿大「The Citizen Lab」實測Zoom加密僅達AES-128 水平
不靠譜的程式碼開源預備案。3月,Zoom創始人公開表示,如果安全問題不解決,會考慮開源Zoom程式碼。從理論上來說閉原始碼開源,是件可能觸及商業模式的問題。但從安全問題上來看,卻透著一絲“甩鍋”的嫌疑。既然我自己沒法解決安全問題,那就程式碼開源,企業使用者自己動手吧。顯然,這並不是補齊安全技術短板的最優解。
從開發、建設到解決問題的能力,Zoom一直在暴露自身安全技術不足。安全技術差不丟人,但一邊收費一邊無法保證2億月活使用者的安全需求,就是錯。
原因三:走熱成黑客圍堵目標
內部存在安全短板,並不能最終使其短時間陷入安全旋渦,遠端辦公、線上社交的大潮下,一方面推動Zoom迎來幾何式增長,另一方面也讓其成為了各路黑客眼中的肥羊。
遭遇黑客密集火力。安全問題暴露初期,Zoom面對的是黑客倒賣平臺賬號的資料安全問題,而經過一個多月的發展,Zoom已成為黑客五十萬美金倒賣應用漏洞的存在。對黑客來說,Zoom成為了盛產漏洞商品的原生土壤,隨時讓他們做起無本萬利的生意。
本季黑客眼裡最肥目標。2020年第一季度,Zoom日活增加20倍,從千萬飆升至2億,一躍成為全球第一視訊會議軟體。而2億月活使用者的背後,是代表著難以估量的公司、學校與機構,這對黑客來說,潛伏Zoom軟體中撈到大魚的可能,遠高於其他平臺。
遭遇黑客高頻行動期。拋開Zoom本身不談,疫情突襲遠端辦公成常態的大環境下,安全隱患與頻繁的黑客攻擊同時到來。從針對普通網友、瞄準醫療機構到盯上政府機構,黑客攻擊行動變得高頻且密集,Zoom也就迎來了安全大考。
有媒體說這是少年Zoom的煩惱,可往往只有你弱的時候,壞人才最多。安全技術不過關,在黑客眼裡也只有那句,“他還是個孩子,我們不能放過他”最為貼切。
風口上的Zoom成敗尚早
在風口上,豬也能飛起來!Zoom雖不是豬,卻實實在在是起飛後,才徹底暴露了安全的短板。即使Zoom刪除了iOS客戶端中的Facebook SDK、更新了隱私政策、提出了90天計劃……做出一系列安全補救措施,但對2億+付費使用者,以及廣大政企使用者來說,遠沒有為了便捷犧牲安全,或是一句空頭補救支票等待Zoom的安全升級。
疫情之下,美股10天曆經4次熔斷,在一片跳崖式下跌中,Zoom股價三個月內飆漲70%,可謂十分的驚豔。但你不努力,自然有人努力取代你。雲視訊會議風口下,華為、思科WebEx、寶利通、微軟Skype、谷歌等巨頭正躍躍欲試的殺個回馬槍,Zoom“炸子雞”的優勢正在喪失。
零日反思
2019年上市當天,Zoom市值159億美元,而到了2020年4月16日16時收盤,Zoom美股市值高達419億美元(約合人民幣2962.33億元),依然是一個勢頭凶猛的獨角獸。本文沒有任何詆譭Zoom的成分,不過真心建議Zoom認真對待安全問題。
雖然已經聘請了Facebook前資訊保安負責人擔任安全顧問,著手應用安全升級,其實可以考慮尋找第三方企業,提供安全技術支援,2億月活使用者真心來之不易。
零日情報局作品
微信公眾號:lingriqingbaoju
如需轉載,請後臺留言
歡迎分享朋友圈
參考資料:
[1] 智東西《53萬賬號被賣!細數ZOOM“十宗罪”,風口浪尖的雲會議江湖》
[2] 極客公園 《少年 Zoom 的煩惱》
[3] 時代週報《安全記錄譭譽參半 Zoom深陷成長的煩惱》
[4] 藍鯨財經《誰來擠破zoom的泡沫?》