[[348711]]

新冠肺炎疫情期間，視頻會(huì)議軟件使用量激增，其中表現(xiàn)最為搶眼的就是Zoom了。Zoom最吸引人的地方就在于“簡(jiǎn)單好用”，但“簡(jiǎn)單好用”的代價(jià)就是安全漏洞太多，隱私問(wèn)題無(wú)法保障。2020年4月，美國(guó)國(guó)家安全局前研究員帕特里克·杰克遜（Patrick Jackson）向華盛頓郵報(bào)爆料，Zoomp存在重大安全漏洞：數(shù)以萬(wàn)計(jì)的私人Zoom視頻被上傳至公開(kāi)網(wǎng)頁(yè)，任何人都可在線(xiàn)圍觀！

在重重壓力之下，3月底，Zoom承認(rèn)，雖然它使用了標(biāo)準(zhǔn)的網(wǎng)絡(luò)瀏覽器數(shù)據(jù)加密，但并沒(méi)有使用行業(yè)標(biāo)準(zhǔn)的端到端加密，該公司隨后宣布凍結(jié)新功能開(kāi)發(fā)，全力提高安全性，并致力于新的加密解決方案。近日，Zoom表示，預(yù)計(jì)從下周開(kāi)始，將為包括免費(fèi)和付費(fèi)在內(nèi)的所有用戶(hù)推出端到端加密（E2EE）功能。在E2EE會(huì)議中，最多可以容納200位參與者。

Zoom最初于5月初宣布了端到端加密會(huì)議的計(jì)劃，它使得所有用戶(hù)生成公共加密身份，以在與會(huì)人員之間建立信任關(guān)系。

Zoom的端到端加密會(huì)議

從下周開(kāi)始，Zoom的E2EE將在頭30天提供技術(shù)預(yù)覽，以獲取用戶(hù)的反饋。

縮放端到端加密會(huì)議將不支持電話(huà)橋，云錄音或Zoom以外的會(huì)議室系統(tǒng)。

Zoom的E2EE加密是建立在現(xiàn)有GCM（Galois/Counter Mode）加密之上的，因?yàn)镚CM是流密碼，而不是塊密碼，它適合視頻會(huì)議。

在主持會(huì)議時(shí)，主持人會(huì)生成加密密鑰，并使用公共密鑰密碼術(shù)將這些密鑰分發(fā)給其他會(huì)議參與者。

換句話(huà)說(shuō)，Zoom服務(wù)器僅充當(dāng)中繼器，它們無(wú)法獲取解密會(huì)議內(nèi)容所需的加密密鑰。

“采用端到端加密后，Zoom向著成為世界上最安全的通信平臺(tái)邁出了一大步。”Zoom的首席執(zhí)行官Eric S. Yuan如此說(shuō)道。

想要使用的話(huà)，用戶(hù)應(yīng)當(dāng)在當(dāng)前賬戶(hù)級(jí)別啟用Zoom’s E2EE。

目前，在當(dāng)前版本的Zoom會(huì)議中啟用E2EE會(huì)禁用某些功能，包括在主持人之前加入會(huì)議、云記錄、流媒體、實(shí)時(shí)轉(zhuǎn)錄、分組討論室、投票、1：1私人聊天等等。

如果您使用的是端到端加密，那么與會(huì)者可以在會(huì)議屏幕的左上角找到一個(gè)中間帶有掛鎖的綠色盾牌徽標(biāo)，以表明他們的會(huì)議正在使用E2EE。

本文翻譯自：https://btlr.dev/blog/how-to-find-vulnerabilities-in-code-bad-words如若轉(zhuǎn)載，請(qǐng)注明原文地址。