在疫情的影響下，Zoom 迎來(lái)發(fā)展中的“高光時(shí)刻”，但與此同時(shí)也陷入“安全與隱私”危機(jī)。目前，NASA 和 SpaceX 宣布禁止使用 Zoom。

4 月 2 日，Zoom 創(chuàng)始人兼CEO 袁征宣布：在接下來(lái)的 90 天內(nèi)將停止 Zoom 的功能更新，轉(zhuǎn)向安全維護(hù)和 BUG 修復(fù)。據(jù)悉，Zoom 會(huì)投入資源去識(shí)別、定位和解決問題，甚至?xí)?qǐng)第三方參與對(duì)軟件進(jìn)行“全面審查”。

據(jù)袁征介紹，目前 Zoom 的日活用戶數(shù)達(dá)到了 2 億，這是構(gòu)建平臺(tái)之初沒有預(yù)計(jì)到的規(guī)模，因此也帶來(lái)了沒有估量到的安全和隱私問題。

的確，因?yàn)樾鹿诜窝滓咔榈娜蚵樱沟枚鄠€(gè)國(guó)家和地區(qū)的人民不得不選擇在家辦公或?qū)W習(xí)，Zoom 也因此得到了巨大的流量和新增用戶，根據(jù) Apptopia 的數(shù)據(jù)，Zoom 的 3 月份活躍用戶較去年同期增長(zhǎng)了 151%。

Zoom 本該正是處于“高光時(shí)刻”，但現(xiàn)在卻深陷“安全與隱私”的泥沼。僅僅一周的時(shí)間，Zoom 就先后被曝出向 Facebook 發(fā)送用戶數(shù)據(jù)、泄露 Windows 登錄憑證、未經(jīng)用戶同意通過(guò)預(yù)加載方式下載應(yīng)用程序、未按宣傳所言采用端到端的加密方式等安全問題，也正是因?yàn)檫@些問題，NASA 和 SpaceX 宣布禁止使用 Zoom。

1. 用戶毫不知情，Zoom 就把數(shù)據(jù)共享給了 Facebook

Motherboard 網(wǎng)站發(fā)現(xiàn)，Zoom iOS 應(yīng)用正在通過(guò)“使用 Facebook 登錄”功能將數(shù)據(jù)發(fā)送到 Facebook，發(fā)送的數(shù)據(jù)包括手機(jī)型號(hào)、打開程序的時(shí)間、所在時(shí)區(qū)和城市、使用的電信運(yùn)營(yíng)商，甚至還包括了可用于廣告定位的標(biāo)識(shí)符。

據(jù)悉，Zoom 使用 Facebook SDK 實(shí)現(xiàn)的“Facebook 登錄”功能，主要是為了給用戶提供訪問平臺(tái)的便利方法。但是在調(diào)查中發(fā)現(xiàn)，即使你不是 Facebook 用戶，也會(huì)被收集信息。

整個(gè)數(shù)據(jù)共享的過(guò)程是這樣的：用戶下載打開 App 后，Zoom 就會(huì)連接到 Facebook 的 Graph API。而這個(gè) Graph API 就是開發(fā)者與臉書交流數(shù)據(jù)的主要方式。

Zoom 表示：“Facebook SDK 功能確實(shí)在從用戶收集數(shù)據(jù)，但是收集的數(shù)據(jù)不包括個(gè)人用戶信息，而是包含用戶設(shè)備的數(shù)據(jù)。”

隨后，Zoom 更新了 iOS 應(yīng)用程序的版本，并改進(jìn)了 Facebook 登錄功能。刪除了 Facebook SDK，重置該功能，用戶仍然可以通過(guò)瀏覽器使用 Facebook 賬戶登錄 Zoom，但是需要更新到最新版本，該功能才會(huì)生效。

2. Zoom 客戶端泄漏 Windows 登錄憑證

根據(jù)外媒報(bào)道，Zoom Windows 客戶端很容易受到 NUC 路徑注入的攻擊，攻擊者可能會(huì)利用此路徑竊取單擊鏈接的用戶 Windows 憑證。

據(jù)了解，使用 Zoom 發(fā)送聊天消息時(shí)，發(fā)送的所有 URL 都會(huì)經(jīng)過(guò)轉(zhuǎn)換，方便其它聊天者點(diǎn)擊，并在默認(rèn)瀏覽器中打開。安全研究員 @ _g0dmode 發(fā)現(xiàn)，Zoom 客戶端竟然將 Windows 網(wǎng)絡(luò)的 UNC 路徑也換成了這種可單擊的鏈接。

常規(guī) URL 和 UNC 路徑（\evil.server.com\images\cat.jpg）都被轉(zhuǎn)換為可單擊的鏈接

當(dāng)用戶單擊 UNC 路徑鏈接時(shí)，Windows 會(huì)嘗試使用 SMB 文件共享協(xié)議連接到遠(yuǎn)程站點(diǎn)，打開遠(yuǎn)程路徑中的 cat.jpg 文件。在默認(rèn)情況下，Windows 將發(fā)送用戶的登錄名和 NTLM 密碼哈希值，在這個(gè)階段，如果是個(gè)有經(jīng)驗(yàn)的攻擊者，就可以借助 Hashcat 等免費(fèi)工具來(lái)逆向運(yùn)算。

安全研究人員 Matthew Hickey 對(duì)此進(jìn)行了實(shí)測(cè)，并證實(shí)不但能在 Zoom 中順利注入，而且可以借助民用級(jí) GPU 和 CPU 來(lái)快速破解。除了能竊取到 Windows 登錄憑證，UNC 注入還可以啟動(dòng)本地計(jì)算機(jī)上的程序，例如 CMD 命令提示符。

16 秒暴力破解簡(jiǎn)單密碼

不過(guò)，幸運(yùn)的是 Windows 會(huì)在程序被執(zhí)行前發(fā)出是否允許其運(yùn)行的提示。但想要真正解決這個(gè)問題，Zoom 必須屏蔽部分可單擊的鏈接，停止 Windows 客戶端的 UNC 路徑轉(zhuǎn)換功能。

3. APP “自動(dòng)”安裝？Zoom 預(yù)安裝腳本引爭(zhēng)議

3 月 31 日，Twitter 用戶 Felix 發(fā)文稱：“Zoom macOS 安裝程序在用戶沒有同意的情況下，會(huì)自動(dòng)安裝，并且還會(huì)使用具有高度誤導(dǎo)性的標(biāo)題來(lái)獲取用戶權(quán)限，這與 macOS 惡意軟件的‘套路’如出一轍。”

據(jù)了解，Zoom 會(huì)使用預(yù)安裝腳本，使用捆綁的 7zip 手動(dòng)解壓縮應(yīng)用程序，如果當(dāng)前用戶在 admin 組中 (不需要 root)，則將其安裝到 / Applications。隨后，Zoom 做出回應(yīng)，表示采用這種做法的目的是為了減少安裝過(guò)程的復(fù)雜性，因?yàn)樵?Mac 上安裝 Zoom 并不容易，并認(rèn)同了 Felix 的觀點(diǎn)，未來(lái)會(huì)繼續(xù)改進(jìn)。

Felix 對(duì)這個(gè)解釋并不認(rèn)可，他認(rèn)為提高可用性不應(yīng)該犧牲安全性，Zoom 作為被廣泛使用的應(yīng)用程序，這一做法雖然沒有惡意，但卻極為不妥。

Felix 詳細(xì)描述了 Zoom macOS 預(yù)安裝腳本是如何工作的？

首先，Zoom 會(huì)使用 pkg 文件（一種安裝程序格式，類似于 Windows 的 MSI）在 macOS 上分發(fā)客戶端，在用戶加入 Zoom 的某個(gè)會(huì)議時(shí)，系統(tǒng)會(huì)提示用戶下載并允許軟件。通常情況下，用戶是可以在該步驟中進(jìn)行自定義和確認(rèn)安裝的操作。但是，Zoom 的安裝程序則跳過(guò)了這些步驟，要求允許“pre-requirement”腳本運(yùn)行，該腳本通常是在正式安裝之前運(yùn)行，用來(lái)檢測(cè)軟件是否與計(jì)算機(jī)兼容。

需要注意的是，雖然“pre-requirement”腳本在運(yùn)行之前會(huì)提示用戶，但提示信息卻是“will determine if the software can be installed”，一般來(lái)說(shuō)，用戶會(huì)點(diǎn)擊 Continue，但你不知道這時(shí) Zoom 已經(jīng)開始安裝了。Zoom 安裝程序，不僅會(huì)執(zhí)行預(yù)安裝檢查，還會(huì)作為腳本的一部分執(zhí)行整個(gè)安裝。更騷的操作是，安裝程序還附帶了一個(gè)捆綁版本的 7zip，可以解壓縮。

如果用戶是 admin，那么腳本會(huì)將提取到的客戶端直接復(fù)制到 /Applications 目錄中，并進(jìn)行一些清理工作，就完成安裝；如果用戶沒有權(quán)限寫入 /Applications，且尚未安裝 Zoom 客戶端，那么，將會(huì)被復(fù)制到本地應(yīng)用程序目錄 /Users//Applications；如果用戶已經(jīng)在 /Applications 中安裝 Zoom，但沒有權(quán)限更新，那么該腳本會(huì)啟動(dòng)“ zoomAutenticationTool”輔助工具（同樣被打包在 pkg 文件中），該工具使用已廢棄的 AuthorizationExecuteWithPrivileges() 系統(tǒng) API 來(lái)顯示密碼提示，以便運(yùn)行具有 root 權(quán)限的“runwithroot”腳本。

4. 所謂的端到端加密是“謊言”？

全球疫情的發(fā)展，使得很多企業(yè)不得不選擇遠(yuǎn)程辦公的方式，這時(shí)遠(yuǎn)程辦公和協(xié)作工具的加密問題就顯得尤為重要。

近日，有外媒報(bào)道 Zoom 在安全白皮書中提到了其支持端到端加密，但實(shí)際并沒有為所有視頻會(huì)議提供此類加密方式，存在誤導(dǎo)用戶的嫌疑。

隨后，Zoom 發(fā)言人表示目前不可能為視頻會(huì)議提供端到端加密。但否認(rèn)了“誤導(dǎo)用戶”的說(shuō)法，并稱白皮書中的“端到端”指的是 Zoom 到 Zoom 之間的連接。

據(jù)了解，Zoom 目前使用的是 TLS 加密，即 Zoom 服務(wù)器到用戶個(gè)人之間的傳輸是處于加密狀態(tài)的。而端到端加密是指在設(shè)備之間對(duì)所有通信進(jìn)行加密，從而使托管服務(wù)的組織也無(wú)法訪問聊天的內(nèi)容。如果是 TLS 加密，Zoom 可以攔截解密視頻、聊天和其他數(shù)據(jù)。

值得注意的是，英國(guó)首相鮑里斯·約翰遜（Boris Johnson）周二在 Twitter 上分享了“the first ever digital Cabinet”的屏幕截圖，圖片顯示多位官員在使用 Zoom 進(jìn)行視頻會(huì)議。這也引發(fā)了大家對(duì)于 Zoom 安全性的討論。

[[321001]]

5. 安全問題頻出，NASA 與 SpaceX 宣布禁用 Zoom

3 月 28 日，SpaceX 給員工發(fā)布了一封電子郵件，要求員工停止使用 Zoom，“我們知道有很多員工在使用 Zoom 進(jìn)行視頻會(huì)議，現(xiàn)在請(qǐng)你們使用電子郵件、短信以及電話來(lái)代替 Zoom。”

據(jù)了解，SpaceX 禁用 Zoom 的原因是其存在著“嚴(yán)重的隱私和安全性問題”。美國(guó)了聯(lián)邦調(diào)查局（FBI）在本周一也發(fā)布了一則關(guān)于 Zoom 的警告，提醒用戶不要在該網(wǎng)站上進(jìn)行公開會(huì)議或廣泛分享鏈接。

值得關(guān)注的是，除了 SpaceX，該公司最大的客戶之一美國(guó)國(guó)家航空航天局（NASA）也宣布禁止員工使用 Zoom。

6. 被盯上了？偽裝成 Zoom 的釣魚網(wǎng)站分發(fā)惡意軟件

“人怕出名豬怕壯”，“流量擔(dān)當(dāng)”的 Zoom 不止自己?jiǎn)栴}頻出，還被某些有心人士“盯上”了。近日，有網(wǎng)絡(luò)犯罪分子通過(guò)注冊(cè)虛假的“Zoom”域名和惡意的“Zoom”可執(zhí)行文件來(lái)誘導(dǎo)用戶下載惡意軟件。

根據(jù) Check Point Research 最新發(fā)布的一項(xiàng)報(bào)告，自新冠病毒流行以來(lái)，已經(jīng)注冊(cè)了 1700 多個(gè)新的“Zoom”域名，其中 25% 的域名是在過(guò)去的 7 天中注冊(cè)的。

此外，研究人員還檢測(cè)到“ zoom-us-zoom _ ############.exe”和“ microsoft-teams_V#mu#D_##########.exe”惡意文件，其中＃代表各種數(shù)字。這類惡意軟件會(huì)在用戶的計(jì)算機(jī)中安裝 InstallCore PUA，從而導(dǎo)致其他惡意軟件的捆綁安裝。

當(dāng)然，Zoom 并不是攻擊者的唯一目標(biāo)，隨著疫情的發(fā)展，各個(gè)國(guó)家和地區(qū)都開始鼓勵(lì)學(xué)生在線學(xué)習(xí)，因此在線學(xué)習(xí)平臺(tái)也成為了攻擊目標(biāo)，研究人員發(fā)現(xiàn)了偽裝成合法 Google Classroom 的釣魚網(wǎng)站，例如 googloclassroom \ .com 和 googieclassroom \ .com，來(lái)誘導(dǎo)用戶下載惡意軟件。