Zoom Video Communications 之类的视频会议平台已成为我们当前在家工作的主要内容。 LBMC 最近提供了一份清单 最佳实践 用于配置和使用这些虚拟会议解决方案,可以帮助用户减少不速之客或巨魔劫持会议的机会。然而,Zoom 的迅速普及也暴露了该应用程序本身的一些潜在的安全和隐私问题,促使 Zoom 的创始人兼首席执行官 Eric Yuan 宣布:“我真的搞砸了!”以下是迄今为止在 Zoom 会议平台中发现的安全问题的摘要。

Zoom 会议不是端到端加密的

Zoom 表示其会议受“端到端加密。”术语端到端加密通常被解释为表示从消息的发起者到接收者的整个通信过程都是加密的。在正确实施的端到端加密中,消息不能被任何人拦截或阅读。但是,Zoom 会议仅在发起用户的计算机和 Zoom的服务器.这种加密方法仍然可以抵御互联网上传统的“中间人”攻击;然而,会议一旦到达 Zoom 的服务器,就很容易受到损害。一旦信息到达 Zoom 的服务器,它就会被解密并在整个 Zoom 环境中以未加密的方式传播。这种方法允许 Zoom 访问来自所有 Zoom 会议的未加密视频和音频数据(大概是出于分析目的),但它使会议面临隐私问题,因为无法保证通过 Zoom 主持的会议中披露的机密信息不被没有真正“需要知道”的人。这也意味着任何获得 Zoom 基础设施访问权限的人(例如提供支持的第三方承包商或破坏环境的攻击者)都可以查看 Zoom 会议中的信息。

Zoom 的 macOS 安装程序不当使用超级用户权限

一位安全研究人员最近发布的调查结果表明 Zoom MacOS 安装程序应用程序不正确地使用了 macOS Administrator 特权.通常,当用户安装 macOS 应用程序时,安装程​​序将运行预安装脚本以检查软件兼容性。这些脚本以访问 MacOS 本身某些安全部分所需的提升权限运行。预安装脚本将在允许运行之前提示用户许可。这些提示说明该程序将仅“确定是否可以安装该软件”。

Zoom 滥用预安装脚本提示来安装 Zoom 应用程序本身。在用户不知情的情况下,允许 Zoom“确定是否可以安装软件”将开始安装过程。

在特定情况下,Zoom 还可能会提示用户批准使用 root 权限。 MacOS 上的 root 权限类似于 Windows 系统上的本地管理员权限。这些 root 权限提示通常标识请求权限的应用程序,例如“Zoom 需要您的密码才能更新现有应用程序。”相反,Zoom 主动将显示的消息更改为“系统需要您的更改权限(原文如此)。”大多数用户会认为这个提示来自 macOS 系统而不是 Zoom 应用程序。

虽然 Zoom macOS 应用程序不是恶意的,但 LBMC 自己的渗透测试人员已经使用类似的技术在模拟攻击期间成功入侵计算机。

Zoom 的 Windows 应用程序允许攻击者窃取 Windows 凭据

适用于 Windows 的 Zoom 应用程序自动将通用命名约定 (UNC) 字符串转换为可点击的链接。虽然当 Zoom 程序员启用该功能时,这似乎是一种有用的便利,但恶意攻击者可以使用我们在 之前的帖子 到 Zoom-bomb 聊天室,以欺骗毫无戒心的 Zoomers 点击特制的 UNC 链接,该链接将提示 Zoom 的 Windows 应用程序发送 Windows 用户名和相应的 NTLMv2 哈希 到链接中包含的地址。然后攻击者可以从散列中获取用户的明文密码。如果攻击者可以访问公司的内部网络,则此信息还可用于访问共享网络资源和/或进行 NTLM 中继和“传递哈希”攻击。

Zoom 的 iOS 应用程序以前将分析数据发送到 Facebook

Zoom 用于 Apple 平板电脑和手机的 iOS 应用程序也被发现 将数据发送到 Facebook.即使 Zoom 用户没有 Facebook 帐户,数据也是从 Zoom iOS 应用程序传输的。读者无疑会记得当 Cambridge Analytica 数据共享实践曝光时 Facebook 遭受的强烈反对。 Zoom 的数据共享无疑会引发更多关于与 Facebook 生态系统相关的数据聚合和隐私问题的问题。

Zoom 的 Facebook 遥测功能在受到公开批评后于 2020 年 3 月被禁用。然而,这种过去的行为,再加上 Zoom 对前面描述的未加密会议数据的访问,引发了平台用户的隐私担忧,并损害了公司的信誉。

Zoom 在会议记录中发布私人个人聊天会话

在 Zoom 平台上的虚拟会议期间,用户可以向单个用户以及整个通话参与者发送聊天消息。当然,如果用户选择在会议期间向单个人发送消息,则该用户希望聊天本身是私密的,并且只能由预期的收件人查看或访问。但是,会议主持人可以选择在会议结束时将会议记录下载到本地计算机(以获取“会议纪要”)。如果他们这样做, 会议中任何个人之间发送和接收的所有个人消息的内容都保存到成绩单中,从而对会议主持人以及有权访问本地 Zoom 会议文件的任何其他用户可见。 (最好不要使用 Zoom 聊天功能对会议主持人发表贬低评论!)

支持冲击

Zoom 的虚拟会议平台为许多迫切渴望与朋友、亲人、同学、同事和教会成员互动的人提供了有用的交流媒介。虽然 Zoom 平台将继续成为在大流行期间被关在家里的人们的社交互动来源,但它也可能成为恶意攻击者和互联网巨魔的妥协手段。使用该解决方案的公司和个人应了解此处提到的安全问题,并确定这些问题是否值得将 Zoom 排除在虚拟会议的解决方案选项之外。

应该注意的是,在撰写本文时,Zoom 声称此处提到的 MacOS、Windows 应用程序和 iOS 应用程序问题已得到修补。与此同时,4 月 1 日,Zoom 表示将暂停为其平台开发任何新功能,以完全专注于平台已确定的安全和隐私问题。虽然这是一个适当的回应,但令人沮丧的是,它再次引起公众强烈反对,促使组织认真对待网络安全。虽然这些安全问题是最近才曝光的,但随着 Zoom 会议平台的普及程度不断提高,它们可能不会是我们看到的最后一个问题,这也引起了攻击者作为新的妥协来源的更多关注。

我们 LBMC 的团队可以帮助您确保您的远程员工和您对虚拟会议平台的使用是安全的。 联系我们 想要查询更多的信息。

网络安全感播客

想要了解有关 Zoom 安全性的更多信息?收听什么软件买球 Cyber​​security Sense 播客。