Zoom開發至今，已經九年了。在冠狀病毒流行期間，人們迫切需要一個易于使用的視頻會議應用程序，因此，Zoom在一夜之間成為數百萬人所青睞的工具。

盡管Zoom是一種高效的在線視頻會議工具，但就隱私和安全性而言，它似乎不夠理想。

根據網絡安全專家@ _g0dmode的最新發現，這也得到研究人員Matthew Hickey和Mohamed A. Baset的證實，Windows的Zoom客戶端容易受到“ UNC路徑注入”漏洞的攻擊，該漏洞可能使遠程攻擊者竊取Windows系統用戶的登錄憑據。

這種攻擊涉及SMBRelay技術，其中Windows系統在嘗試連接和下載托管文件時，會自動向遠程SMB服務器公開用戶的登錄用戶名和NTLM密碼哈希。

只有當Windows的Zoom客戶端支持遠程UNC路徑，該攻擊才可能發生，該路徑會將此類可能不安全的URL轉換為個人聊天或群聊中收件人的超鏈接。

要竊取運行Windows用戶的登錄憑據，攻擊者需要做的就是通過其聊天界面向受害者發送一個精心制作的URL(即\\ xxxx \ abc_file)，如圖所示，然后等待受害者點擊，只需一次即可成功。

需要注意的是，攻擊者捕獲的密碼不是明文，但是可以使用HashCat或Ripper John等密碼破解工具，在幾秒鐘內便可輕松破解一個薄弱的密碼。

在辦公環境這樣的共享網絡中，被盜的登錄詳細信息可以立即重用，來破壞其他用戶或IT資源，并發起進一步的攻擊。

除了竊取Windows憑據外，還可以利用該漏洞啟動目標計算機上已經存在的任何程序或下載其他程序，為攻擊者進行社會工程學活動做準備。

Zoom已經收到有關此漏洞的通知，但是由于尚未修復，建議用戶使用替代的視頻會議軟件或在Web瀏覽器中使用Zoom，代替其客戶端應用程序避免被攻擊的風險。

除了使用安全密碼外，Windows用戶還可以更改安全策略設置，限制操作系統將其NTML憑據自動傳遞給遠程服務器。

正如前文所述，在過去兩天里，這不是Zoom被發現的唯一隱私或安全問題。就在昨天，另一份報告證實，盡管Zoom對用戶聲稱 “正在使用端到端加密連接”，但實際上，并未使用端到端加密來保護其用戶數據免遭窺視。

昨日，紐約總檢察長致信Zoom，要求公司處理敏感數據，要更透明，要切實采取措施保護用戶數據。信中除了提及Zoombombings的事件，還問及Zoom應如何處理系統中存在的安全漏洞，包括允許惡意第三方訪問消費者網絡攝像頭，以及類似于Facebook將數據共享給其他公司等問題。

對此，在3月30日，Zoom更新了隱私策略并對檢察長的致信作出了回應：“我們感謝紐約州檢察長在這些問題上的參與，并很高興為她提供所要求的信息。”

據了解，Zoom近期曝出的安全問題層出不窮。就在上周，在曝出與Facebook服務器共享用戶設備信息后，Zoom更新了其iOS應用程序，但是這還是引發了人們對其未能保護用戶隱私的擔憂。

今年早些時候，Zoom還修補了其軟件中的另一個隱私漏洞，該漏洞可能讓未被邀請的人參加私人會議，并遠程竊聽整個會話，共享私人音頻、視頻和文檔。

用戶可采取的安全防御措施

1. 了解使用Zoom時的隱私注意事項

2. 為Zoom會議添加密碼

創建新的Zoom會議時，Zoom將自動啟用“需要會議密碼”設置并分配一個隨機的6位數字密碼。盡量不要取消選中此選項，因為這樣做將允許任何人未經許可訪問會議。

3. 使用等候室功能

Zoom允許主持人(創建會議的主持人)啟用等候室功能，該功能可以防止用戶未經主持人允許就進入會議。可以在會議創建期間通過以下方式啟用此功能：打開高級設置，選中“啟用候診室”設置，然后單擊“保存”按鈕。

4. 及時更新Zoom客戶端

最新的Zoom更新默認情況下啟用會議密碼，并增加了對掃描會議ID的人員的保護。

5. 不要分享個人的會議ID

每個Zoom用戶都會獲得一個與其帳戶相關聯的永久“個人會議ID”(PMI)。如果將個人的PMI交給其他人，他們將始終能夠檢查是否有正在進行的會議，如果未配置密碼，則有可能加入會議。

6. 禁用參與者屏幕共享

為防止會議被他人劫持，應防止主持人以外的其他參與者共享他們的屏幕。作為主持人，可以在會議中通過單擊“縮放”工具欄中“共享屏幕”旁邊的向上箭頭，然后單擊“高級共享選項”來完成此操作，如下所示。

7. 每個人加入完畢后鎖定會議

如果每個人都參加了會議，并且沒有邀請其他人，則應該鎖定會議，這樣其他人就不能參加。為此，請單擊“縮放”工具欄上的“管理參與者”按鈕，然后在“參與者”窗格底部選擇“更多”。然后選擇“鎖定會議”選項，如下所示。

8. 不要發布Zoom的會議圖片

如果為Zoom會議拍照，那么看到此照片的任何人都將能夠看到其相關會議ID，然后可以嘗試進入該會議。攻擊者可能會使用它來嘗試通過顯示的ID手動加入來獲得未經授權的會議訪問權限。

9. 不要發布會議的公共鏈接

創建Zoom會議時，切勿公開發布會議鏈接。 這樣做會使諸如Google之類的搜索引擎對鏈接建立索引，并使搜索它們的任何人都可以訪問它們。

10. 警惕以Zoom為主題的惡意軟件

自冠狀病毒爆發以來，制造惡意軟件、網絡釣魚詐騙和其他與疫情相關的攻擊的威脅參與者數量迅速增加，這包括偽裝為Zoom客戶端安裝程序的惡意軟件和廣告軟件安裝程序。