明星和英国首相都在用的Zoom,竟存在这些安全隐患……

国际金融报 2020-04-03 09:25
为了减少新冠肺炎的危害,全球多国采取隔离措施,居家人士大多选择远程视频会议应用Zoom维持正常工作与社交。

从早午餐,到生日聚会、读书俱乐部和浪漫约会,再到宗教活动,都开始使用Zoom进行联络,就连歌坛巨星艾尔顿约翰(Elton John)为疫情举办的群星音乐会也通过Zoom举办。

国家元首也不例外。3月31日,英国内阁召开首场远程会议。确诊患新冠肺炎的英国首相鲍里斯约翰逊(Boris Johnson)在推特上公开分享了这次会议的屏幕截图。之后,英国内阁的例行会议都会依靠这一软件。

1

隔离生活新常态

在全球范围内,Microsoft的Skype、Teams平台以及Cisco的Webex都是使用较为广泛的视频会议工具。但Zoom这家有9年历史的平台借助具有容纳大容量用户的能力而成为了远程视频的有力竞争者。Zoom的免费版本可以最多支持100个用户参加会议,相比之下,Microsoft的Skype的免费版本只可容纳50人,Zoom还有一些诸如可自定义的照片背景的有趣用户体验。这一软件还可以更改摄像头角度,进行加密的私人通话,发送直接消息并记录会话。如果通话时间超过40分钟,个人用户每月支付14.99美元,企业用户支付19.99美元,即可无限通话。

像Facebook和Twitter一样,Zoom也已经成为互联网文化的重要组成部分:Facebook组群“Zoom Memes for Quarantnes”拥有近395000名成员,其中有各种有关使用Zoom期间的趣事。包括通过Zoom上课的学生逃课,或者一位教授对着一堆毛绒动物上课。

美国500强企业中有三分之一都在使用Zoom的服务,排名前200的美国大学中有90%都是其客户。

Zoom是由移民到美国的中国软件工程师袁征在2011年创办的,袁征出生于山东,他于2011年创办Zoom远程会议软件公司。

袁征是狂热的篮球迷,而NBA著名球星、金州勇士队球员安德烈伊戈达拉(Andre Iguodala)也参与投资该公司。

日前,在新冠肺炎疫情蔓延全球之际,Zoom成了全球用户最为追捧的远程视频会议软件之一。有报道称,Zoom在苹果应用商店的全球日均下载量由两个月前的5万多,近日急增至逾200万。

而在过去两个月中,Zoom公司的股价几乎翻了一番。

去年4月18日,Zoom在纳斯达克上市时市值达到150亿美元,现在更上涨到385亿美元。而根据福布斯实时富豪榜,袁征的身家在4月1日也上涨至68亿美元,在富豪榜中排名242。

2

安全漏洞难避免

在对在线通讯工具和社交网络的需求激增的情况下,Zoom需努力保持其服务的正常运行。

Zoom发言人称,该公司目前依靠其在全球17个数据中心,将音频和视频流量都路由到这些站点。在疫情发生之前,该公司的策略就是确保可以支持平均每日高峰使用量的两倍,并能够在几个小时内部署数万台额外的服务器。

随着冠状病毒大流行蔓延,Zoom目前正在迅速扩展其在各个行业中的地位。例如,该公司向各个国家的K-12学校免费提供服务。其还免除了对中国所有用户的月租费用。对于公司而言,这是能够扩张的关键时刻。

业内专家认为,长期来看,Zoom还需要添加新功能来鼓励人们为服务付费。

不过在眼下,随着Zoom使用量激增,有关这一程序带来的隐私安全问题也引发讨论。

本周一,美国纽约总检察长莱蒂蒂亚詹姆斯(Letitia James)致信Zoom,询问该公司是否“采取了适当措施来确保用户的隐私和安全”。

Zoom随后在一份声明中说:“Zoom非常重视用户的隐私、安全和信任”。“在新冠肺炎大流行期间,公司全天候工作,确保世界各地的医院、院校和其他企业能够保持联络和运营”。

同日,美国联邦调查局(FBI)还发布了针对“轰炸Zoom”(Zoom-bombing,指的是其他Zoom使用者不请自来,突然使用Zoom软件用屏幕分享色情图片或冒犯性内容)的警告。FBI敦促“轰炸Zoom”的受害者向该机构报告相关事件,其还提醒Zoom用户不要在网站上公开会议或广泛共享链接。

Zoom-bombing是最近出现的许多Zoom安全和隐私问题中的第一个。在这一方面,英国首相约翰逊为公众提供了一个反面教材:他在推特上放出了视频会议ID(“PMI”)。

一般来说,创建Zoom账户,首先要为用户分配“PMI”,这是与Zoom链接关联的9-11位数的个人会议ID号。约翰逊公开共享PMI好比共享了自家家庭住址,如果没有更多参会限制,所有人都会知道这场内阁会议讨论了什么。不过所幸这场会议有密码保护。

另有报道称,英国国防部已经暂停使用该软件进行远程会议,但是国防部否认这个说法。

英国国防部对BBC表示,国防部从来没有使用过Zoom进行高层安全会议,Zoom只是政府各部门之间的对话工具而已。

之后,内阁办公室发言人又出来澄清政府立场:“在目前特殊情况下,维持有效沟通渠道非常重要,国家网络安全中心的指导原则显示,使用Zoom进行一般非保密性的对话没有问题。”

埃隆马斯克(Elon Musk)的SpaceX公司以“重大隐私和安全问题”为由,禁止其员工使用Zoom。而作为SpaceX最大客户之一的美国国家航空航天局(NASA)也禁止员工使用Zoom。

总部设在美国加州圣何塞(San Jose)的Zoom远程会议软件公司则极力为其软件安全性作辩护,称安全性绝对毋庸置疑。Zoom创始人兼首席执行官袁征在上周五的一条推文中谈到了其中一些问题,称这些问题源于用户未启用某些安全功能,例如会议密码和其他隐私控制。

该公司发言人还说,主持大型公共会议的用户应检查设置,确保只有主持人可以共享屏幕,并激活其他隐私控制。

还有报道称,Zoom与Facebook共享用户数据。Zoom最初允许用户使用其Facebook账户登录其iOS应用程序,该功能用于与Facebook共享有关该用户设备的详细信息,包括其时区、语言、型号和IP地址。已有两名Zoom用户于本周在北加利福尼亚州地方法院分别对该公司提起了集体诉讼,其中一项诉讼称该视频应用“未能保护数百万用户的个人信息”,另一项诉讼则指控Zoom在没有明确通知用户的情况下,收集用户的个人信息并与第三方(包括Facebook)共享。

CNN还报道称,网络安全公司TrustedSec创始人,美国海军陆战队前网络战专家戴维肯尼迪(David Kennedy)表示,Zoom使用了一种称为传输加密的技术,该技术只在从视频聊天到公司服务器的区间保护消息的安全。他说,这意味着Zoom有效地充当了平台上所有视频对话的中间人,并且可以访问这些对话。

调查新闻网站The Intercept也在周二报道说,Zoom没有对与会人员之间没进行端到端加密。

Zoom在上周末发布了隐私政策更新,强调“仅以提供服务和确保有效传输为目的收集Zoom平台个人数据”。

Zoom发言人承认该公司收集IP地址和设备详细信息等“基本技术信息”,但强调其具有严格的隐私控制措施以防止未经授权的访问。发言人补充说:“重要的是,Zoom不会将任何类型的用户数据出售给任何人。”

网络专家建议你:

使用密码锁定会议;

分配主持人,令其可以看到每个加入的人;

明确参与者的人数,在达到该人数后,锁定会议,使其他人无法参加;

阻止参与者共享屏幕;

不要使用PMI,而应该为每个会议创建唯一的链接;

最后但同样重要的是,不要像约翰逊一样,把你的PMI公布于公共空间。

记者 袁源


上一篇 & 下一篇