今年以來，Zoom日活躍用戶已經(jīng)超過2億人，與去年年底相比翻了20倍。但黑客和安全研究人員在zoom客戶端中發(fā)現(xiàn)了一系列的安全問題。3月底，在被爆收集和發(fā)送設備信息到Facebook服務器后，Zoom從iOS app版本中移除了Facebook SDK。4月，有黑客在暗網(wǎng)論壇出售超過50萬的Zoom賬戶，差不多一個賬號0.00014元，1分錢能買71個。Zoom修復了一個macOS客戶端的安全漏洞，攻擊者利用該漏洞可以竊取用戶的Windows NTLM憑證來遠程啟動可執(zhí)行文件。

[[322559]]

Zoom 0 day漏洞

近日，又有黑客在暗網(wǎng)出售影響Zoom Windows客戶端的0 day遠程代碼執(zhí)行漏洞利用代碼，售價為50萬美元。同時還附送一個Zoom macOS客戶端的漏洞濫用代碼。

這樣的漏洞利用是沒有固定價格的，國外漏洞交易平臺Zerodium對此類漏洞利用的報價為2000到250萬美元，具體價格根據(jù)受影響的軟件或系統(tǒng)的流行程度、安全等級，以及提交的漏洞利用的質(zhì)量不同而不同。

目前漏洞利用和源碼還沒有公開，熟悉0 day漏洞利用市場的相關人士介紹稱，已有漏洞交易代理商業(yè)與之聯(lián)系購買漏洞。漏洞交易平臺Netragard創(chuàng)始人Adriel Desautels稱出售的2個0 day漏洞一個影響macOS，另一個影響Windows系統(tǒng)。

Windows 0 day漏洞是一個遠程代碼執(zhí)行漏洞，攻擊者利用該漏洞可以在受影響的系統(tǒng)上遠程執(zhí)行任意代碼，與其他漏洞組合可以完全控制設備。有知情人士稱50萬美元的價格是公正的，因為該漏洞可以用于大規(guī)模監(jiān)控。該漏洞要求潛在攻擊者與目標在同一會話中，這就減少了購買漏洞的黑客的范圍。也有匿名知情人士稱，該漏洞的價格應該降低一半。

MacOS漏洞利用并不是一個遠程代碼執(zhí)行漏洞，因此其危險性并沒有Windows 0 day漏洞高，而且很難用于現(xiàn)實的攻擊場景中。

Zoom回應

Zoom發(fā)表聲明稱，Zoom非常重視用戶安全和隱私。在聽到這些“謠言”后，Zoom安全團隊就與其他知名安全公司開展合作，但截至目前尚未發(fā)現(xiàn)相關的安全漏洞。

此外，月初，Zoom還加入了一個Waiting Room(等候室)的功能，實現(xiàn)對要加入會議的參與者的控制，而且在安排會議時要輸入口令，并且在標題中移除了會議的meeting ID。