大家好,我是 零日情报局。
本文首发于公众号 零日情报局,微信ID:lingriqingbaoju。
风口浪尖的Zoom,又上新闻头条了。只不过,这次不是曝出漏洞,而是隐蔽的高危漏洞,被黑客开价50万美金全网叫卖。
目前,漏洞详情还未曝光,但卖家已透露利用该漏洞可直接监视Zoom用户视频及呼叫。这就意味着,普通人中招是隐私泄露,政企付费用户中招那就可能是工业间谍活动。
危机二月,Zoom像做着火箭般一飞冲天;转眼三月,频频暴雷深陷安全旋涡;直到四月,才迟迟推出安全措施,但已上了NASA、英国政府、SpaceX等组织机构的安全黑名单。
急转直下看似坐过山车,可在零日看来,Zoom掉入安全雷区的背后,却源自内部长期忽视安全建设、技术实力弱,以及外部遭遇黑客围堵三方面原因。
原因一:长期忽视安全建设
底层安全建设埋雷。Zoom火于当下,却开发于9年前。作为一款专攻云视频会议的软件,Zoom主打的是体验、功能、容量、简单、性价比。看似基于用户需求,且稳扎稳打的耗时9年积累了1000万活跃用户。但这里始终没有强调过安全能力,应用安全、数据安全、通信安全仿佛从不是Zoom考虑的问题。也许,即使没有遇到当下的风口,Zoom安全暴雷也是迟早的事情。
英国首相使用zoom
安全隐患早露端倪。就像问题的暴露,不仅是单纯的质变还要有量的积累,2019年活跃用户逼近千万时,Zoom开始曝出数据安全与隐私问题。Mac Zoom Client曝出允许任何恶意网站,可在未经许下启用摄像头的漏洞,或导致全世界75万Zoom企业用户曝光。风波刚过,又紧接着曝出Zoom被黑客监听通话。激起水花不大,却暴露了安全短板。
隐患由来已久,安全管理上也存在问题。参照苹果、谷歌、微软这些巨头,曝出漏洞后常常第一时间修复,少有Zoom这样迟缓的安全响应机制。19年3月,安全厂商向Zoom上报了两个安全漏洞。而Zoom的响应速度是,先花10天时间确认漏洞,再用长达2个半月时间,直到6月才开始修复漏洞,期间Zoom就这样“带洞裸奔”。
Zoom凭风而起,用户激增安全问题却依旧按部就班。数据泄露、boomZoom……3月Zoom安全问题刷屏,但直到4月1日愚人节,Zoom创始人才正式在官网发布告用户书,不过期待安全解决方案的人要失望了。针对一系列安全问题,Zoom给出了相应的解决办法,是宣布暂停更新,集中工程师解决安全问题,但时间周期是90天。
咱们中国有句话叫德不配位,说的是德行无法匹配地位,而Zoom从头到尾对安全问题的忽视,以及拖沓的步调,正是做着超出自己安全能力边界的事情。
原因二:技术弱是原罪
表面来看是Zoom忽视安全,深究则与Zoom安全技术存在短板脱不开关系。
从设计逻辑到技术的全角度安全问题。将用户数据发送到Facebook,允许虚拟会议主持人追踪参会者资料,陌生人利用截获会议编号或链接,侵入视频会议,恶作剧甚至发布仇恨言论、不雅图片,以及的云存储空间一次性泄露的15000会议视频……Zoom一再刷新着我们对安全底线的认知。
Zoom Bombing恶作剧入侵会议
任何账户都可被破解(已修正)
Zoom安装程序被植入而已挖矿软件
虚假的隐私保密技术。端到端加密是被认为最私密的互联网通信方式,而宣称使用端到端加密的Zoom,却言过其实。Citizen Lab报告证实,Zoom实际上只在ECB模式下使用了简单的AES-128密钥。换句话说,Zoom这个“邮差”能看视频“信件”的内容,而且“接头暗号”太过简单,难以保证用户通信安全。
加拿大「The Citizen Lab」实测Zoom加密仅达AES-128 水平
不靠谱的代码开源预备案。3月,Zoom创始人公开表示,如果安全问题不解决,会考虑开源Zoom代码。从理论上来说闭源代码开源,是件可能触及商业模式的问题。但从安全问题上来看,却透着一丝“甩锅”的嫌疑。既然我自己没法解决安全问题,那就代码开源,企业用户自己动手吧。显然,这并不是补齐安全技术短板的最优解。
从开发、建设到解决问题的能力,Zoom一直在暴露自身安全技术不足。安全技术差不丢人,但一边收费一边无法保证2亿月活用户的安全需求,就是错。
原因三:走热成黑客围堵目标
内部存在安全短板,并不能最终使其短时间陷入安全旋涡,远程办公、线上社交的大潮下,一方面推动Zoom迎来几何式增长,另一方面也让其成为了各路黑客眼中的肥羊。
遭遇黑客密集火力。安全问题暴露初期,Zoom面对的是黑客倒卖平台账号的数据安全问题,而经过一个多月的发展,Zoom已成为黑客五十万美金倒卖应用漏洞的存在。对黑客来说,Zoom成为了盛产漏洞商品的原生土壤,随时让他们做起无本万利的生意。
本季黑客眼里最肥目标。2020年第一季度,Zoom日活增加20倍,从千万飙升至2亿,一跃成为全球第一视频会议软件。而2亿月活用户的背后,是代表着难以估量的公司、学校与机构,这对黑客来说,潜伏Zoom软件中捞到大鱼的可能,远高于其他平台。
遭遇黑客高频行动期。抛开Zoom本身不谈,疫情突袭远程办公成常态的大环境下,安全隐患与频繁的黑客攻击同时到来。从针对普通网友、瞄准医疗机构到盯上政府机构,黑客攻击行动变得高频且密集,Zoom也就迎来了安全大考。
有媒体说这是少年Zoom的烦恼,可往往只有你弱的时候,坏人才最多。安全技术不过关,在黑客眼里也只有那句,“他还是个**,我们不能放过他”最为贴切。
风口上的Zoom成败尚早
在风口上,猪也能飞起来!Zoom虽不是猪,却实实在在是起飞后,才彻底暴露了安全的短板。即使Zoom删除了iOS客户端中的FacebookSDK、更新了隐私政策、提出了90天计划……做出一系列安全补救措施,但对2亿+付费用户,以及广大政企用户来说,远没有为了便捷牺牲安全,或是一句空头补救支票等待Zoom的安全升级。
疫情之下,美股10天历经4次熔断,在一片跳崖式下跌中,Zoom股价三个月内飙涨70%,可谓十分的惊艳。但你不努力,自然有人努力取代你。云视频会议风口下,华为、思科WebEx、宝利通、微软Skype、谷歌等巨头正跃跃欲试的杀个回马*,Zoom“炸子鸡”的优势正在丧失。
零日反思
2019年上市当天,Zoom市值159亿美元,而到了2020年4月16日16时收盘,Zoom美股市值高达419亿美元(约合***2962.33亿元),依然是一个势头凶猛的独角兽。本文没有任何诋毁Zoom的成分,不过真心建议Zoom认真对待安全问题。
虽然已经聘请了Facebook前信息安全负责人担任安全顾问,着手应用安全升级,其实可以考虑寻找第三方企业,提供安全技术支持,2亿月活用户真心来之不易。
零日情报局作品
微信公众号:lingriqingbaoju
如需转载,请后台留言
欢迎分享朋友圈
参考资料:
[1] 智东西《53万账号被卖!细数ZOOM“十宗罪”,风口浪尖的云会议江湖》
[2] 极客公园 《少年 Zoom 的烦恼》
[3] 时代周报《安全记录毁誉参半 Zoom深陷成长的烦恼》
[4] 蓝鲸财经《谁来挤破zoom的泡沫?》
来源:freebuf.com 2020-04-17 17:04:18 by: 0day情报局
请登录后发表评论
注册