Zoom開發(fā)至今，已經(jīng)九年了。在冠狀病毒流行期間，人們迫切需要一個易于使用的視頻會議應(yīng)用程序，因此，Zoom在一夜之間成為數(shù)百萬人所青睞的工具。

盡管Zoom是一種高效的在線視頻會議工具，但就隱私和安全性而言，它似乎不夠理想。

根據(jù)網(wǎng)絡(luò)安全專家@ _g0dmode的最新發(fā)現(xiàn)，這也得到研究人員Matthew Hickey和Mohamed A. Baset的證實，Windows的Zoom客戶端容易受到“ UNC路徑注入”漏洞的攻擊，該漏洞可能使遠(yuǎn)程攻擊者竊取Windows系統(tǒng)用戶的登錄憑據(jù)。

這種攻擊涉及SMBRelay技術(shù)，其中Windows系統(tǒng)在嘗試連接和下載托管文件時，會自動向遠(yuǎn)程SMB服務(wù)器公開用戶的登錄用戶名和NTLM密碼哈希。

只有當(dāng)Windows的Zoom客戶端支持遠(yuǎn)程UNC路徑，該攻擊才可能發(fā)生，該路徑會將此類可能不安全的URL轉(zhuǎn)換為個人聊天或群聊中收件人的超鏈接。

要竊取運(yùn)行Windows用戶的登錄憑據(jù)，攻擊者需要做的就是通過其聊天界面向受害者發(fā)送一個精心制作的URL(即\\ xxxx \ abc_file)，如圖所示，然后等待受害者點(diǎn)擊，只需一次即可成功。

需要注意的是，攻擊者捕獲的密碼不是明文，但是可以使用HashCat或Ripper John等密碼破解工具，在幾秒鐘內(nèi)便可輕松破解一個薄弱的密碼。

在辦公環(huán)境這樣的共享網(wǎng)絡(luò)中，被盜的登錄詳細(xì)信息可以立即重用，來破壞其他用戶或IT資源，并發(fā)起進(jìn)一步的攻擊。

除了竊取Windows憑據(jù)外，還可以利用該漏洞啟動目標(biāo)計算機(jī)上已經(jīng)存在的任何程序或下載其他程序，為攻擊者進(jìn)行社會工程學(xué)活動做準(zhǔn)備。

Zoom已經(jīng)收到有關(guān)此漏洞的通知，但是由于尚未修復(fù)，建議用戶使用替代的視頻會議軟件或在Web瀏覽器中使用Zoom，代替其客戶端應(yīng)用程序避免被攻擊的風(fēng)險。

除了使用安全密碼外，Windows用戶還可以更改安全策略設(shè)置，限制操作系統(tǒng)將其NTML憑據(jù)自動傳遞給遠(yuǎn)程服務(wù)器。

正如前文所述，在過去兩天里，這不是Zoom被發(fā)現(xiàn)的唯一隱私或安全問題。就在昨天，另一份報告證實，盡管Zoom對用戶聲稱 “正在使用端到端加密連接”，但實際上，并未使用端到端加密來保護(hù)其用戶數(shù)據(jù)免遭窺視。

昨日，紐約總檢察長致信Zoom，要求公司處理敏感數(shù)據(jù)，要更透明，要切實采取措施保護(hù)用戶數(shù)據(jù)。信中除了提及Zoombombings的事件，還問及Zoom應(yīng)如何處理系統(tǒng)中存在的安全漏洞，包括允許惡意第三方訪問消費(fèi)者網(wǎng)絡(luò)攝像頭，以及類似于Facebook將數(shù)據(jù)共享給其他公司等問題。

對此，在3月30日，Zoom更新了隱私策略并對檢察長的致信作出了回應(yīng)：“我們感謝紐約州檢察長在這些問題上的參與，并很高興為她提供所要求的信息。”

據(jù)了解，Zoom近期曝出的安全問題層出不窮。就在上周，在曝出與Facebook服務(wù)器共享用戶設(shè)備信息后，Zoom更新了其iOS應(yīng)用程序，但是這還是引發(fā)了人們對其未能保護(hù)用戶隱私的擔(dān)憂。

今年早些時候，Zoom還修補(bǔ)了其軟件中的另一個隱私漏洞，該漏洞可能讓未被邀請的人參加私人會議，并遠(yuǎn)程竊聽整個會話，共享私人音頻、視頻和文檔。

用戶可采取的安全防御措施

1. 了解使用Zoom時的隱私注意事項

2. 為Zoom會議添加密碼

創(chuàng)建新的Zoom會議時，Zoom將自動啟用“需要會議密碼”設(shè)置并分配一個隨機(jī)的6位數(shù)字密碼。盡量不要取消選中此選項，因為這樣做將允許任何人未經(jīng)許可訪問會議。

3. 使用等候室功能

Zoom允許主持人(創(chuàng)建會議的主持人)啟用等候室功能，該功能可以防止用戶未經(jīng)主持人允許就進(jìn)入會議。可以在會議創(chuàng)建期間通過以下方式啟用此功能：打開高級設(shè)置，選中“啟用候診室”設(shè)置，然后單擊“保存”按鈕。

4. 及時更新Zoom客戶端

最新的Zoom更新默認(rèn)情況下啟用會議密碼，并增加了對掃描會議ID的人員的保護(hù)。

5. 不要分享個人的會議ID

每個Zoom用戶都會獲得一個與其帳戶相關(guān)聯(lián)的永久“個人會議ID”(PMI)。如果將個人的PMI交給其他人，他們將始終能夠檢查是否有正在進(jìn)行的會議，如果未配置密碼，則有可能加入會議。

6. 禁用參與者屏幕共享

為防止會議被他人劫持，應(yīng)防止主持人以外的其他參與者共享他們的屏幕。作為主持人，可以在會議中通過單擊“縮放”工具欄中“共享屏幕”旁邊的向上箭頭，然后單擊“高級共享選項”來完成此操作，如下所示。

7. 每個人加入完畢后鎖定會議

如果每個人都參加了會議，并且沒有邀請其他人，則應(yīng)該鎖定會議，這樣其他人就不能參加。為此，請單擊“縮放”工具欄上的“管理參與者”按鈕，然后在“參與者”窗格底部選擇“更多”。然后選擇“鎖定會議”選項，如下所示。

8. 不要發(fā)布Zoom的會議圖片

如果為Zoom會議拍照，那么看到此照片的任何人都將能夠看到其相關(guān)會議ID，然后可以嘗試進(jìn)入該會議。攻擊者可能會使用它來嘗試通過顯示的ID手動加入來獲得未經(jīng)授權(quán)的會議訪問權(quán)限。

9. 不要發(fā)布會議的公共鏈接

創(chuàng)建Zoom會議時，切勿公開發(fā)布會議鏈接。 這樣做會使諸如Google之類的搜索引擎對鏈接建立索引，并使搜索它們的任何人都可以訪問它們。

10. 警惕以Zoom為主題的惡意軟件

自冠狀病毒爆發(fā)以來，制造惡意軟件、網(wǎng)絡(luò)釣魚詐騙和其他與疫情相關(guān)的攻擊的威脅參與者數(shù)量迅速增加，這包括偽裝為Zoom客戶端安裝程序的惡意軟件和廣告軟件安裝程序。