Zoom到底做錯了什么?
近日來,全球知名科技媒體、企業和機構(Wired、Intercept、Motherboard、Krebs、Citizen Lab、特斯拉、NASA等等)集體聲討Zoom的安全和隱私問題,一時間,國內媒體報道中“中國威脅論”、“地緣政治科技化”、“Zoom與Tiktok、華為、大疆一起被針對”的論調甚囂塵上,甚至掩蓋了對Zoom事件實質性和專業性的探討的聲音。以下,我們簡要梳理Zoom事件的關鍵事實、關鍵問題和權威專家觀點,方便讀者自行解讀和分析。
在展開討論之前,我們先羅列幾個基本事實作為開胃菜:
- Zoom處理和整改安全和隱私問題的態度和速度很好,迄今為止都是非常坦誠和高效的。
- Zoom的安全性,對于大多數普通用戶和非關鍵任務團隊協作來說都是足夠的。普通用戶無需為Zoom的大量負面報道而困惑,目前Zoom的“安全風暴”,更多還是專業領域的討論。
Zoom安全問題的三個風暴眼
作為純正的美國公司,所謂的愛國話題,僅僅是因為Zoom的創始人是土生土長的山東人,而Zoom本身的成長,也與國內龐大的低成本高效率開發團隊以及行業用戶密不可分,事實上被思科收購的WebEx的成功也離不開中國程序員,這并不是Zoom的“原罪”。
我們就事論事,先來看看“全球第一抗疫潛力股”Zoom近期為何會“焦頭爛額”,Zoom的網絡安全和隱私問題是否真的那么嚴重?密碼學大咖Schneier的說法將Zoom的問題分為三大類:
- 不良的隱私慣例;
- 不良的安全慣例;
- 不良的用戶配置。
以下,我們將被業內專家和媒體控訴最多的,用戶最關注的隱私和安全問題梳理如下:
1. 不良的隱私慣例
產品功能侵犯用戶隱私。正如安全牛之前報道過的,Zoom的客戶端在使用過程中,會有很多“小功能”需要留神,例如老板可以知道你是否在專注會議,是否最小化了窗口敷衍了事,甚至會議記錄和用戶之間聊天的文本信息的訪問權也都缺乏透明度。
在用戶不知情的情況下與Facebook和Google等“怪獸”分享用戶數據。
3月26日,《Motherboard》刊文指出,只要是在iOS系統下載或打開Zoom App時,Zoom就會通過Facebook SDK路徑向Facebook傳送用戶隱私信息,就連非Facebook用戶也是如此。
Zoom會秘密顯示人們LinkedIn個人資料中的數據,這使一些會議參與者可以互相窺探。
2. 不良的安全慣例
(1) 糟糕的安全設計——Zoom Bombing。會議ID很容易猜測,加入在線會議session也無需更多認證,任何人都可以通過遍歷或者猜測闖入一個在線會議,分享色情視頻或者冒犯性內容。新冠期間全球大量用戶遭受Zoom Bombing攻擊,甚至很多是中小學在線課程,影響極為惡劣,Zoom產品本身的“安全設計”有著不可推卸的責任。
(2) 夸大產品安全功能(端到端加密)。在網站和營銷材料中使用“端到端加密”字樣,但實際上(如果不是邏輯上)并非如此,Zoom既沒有提供嚴格意義上的端到端加密功能,其加密強度也存在夸大嫌疑(加拿大公民實驗室分析發現Zoom聲稱的AES-256加密并不存在,所有與會者都是以ECB模式使用單個AES-128密鑰來加密音頻和視頻),會讓用戶產生不必要的安全感。其實Zoom最大的問題并非沒有采用端到端加密,要知道蘋果公司花了多年時間才實現了FaceTime端到端加密(限32人),而Google的企業級Hangouts Meet平臺甚至都不提供端到端加密,而每個會議最多只能容納250名參與者。Zoom的問題是不誠實!
目前就Zoom加密問題發聲的密碼學家都強調說,Zoom的集中式密鑰管理系統和不透明的密鑰生成是該公司過去的端到端加密聲明以及當前混亂的消息傳遞的最大問題(專家們并沒有揪住在中國設置密鑰服務器的問題,因此一心想把這個問題政治化的人,只敢在娛樂媒體平臺上混淆視聽)。實際上不僅是Zoom,大多數多方視頻會議應用都難以做到真正的端到端,但是,人家沒有玩文字游戲,沒有糊弄用戶。
(3) 非受迫性失誤:攝像頭后門和“中國服務器”。Schneier指出,這并不是Zoom第一次在安全性上草率行事。去年,一位研究人員發現Mac Zoom Client中的漏洞允許任何惡意網站未經許可就啟用相機。這似乎是一個蓄意的設計選擇:Zoom設計了其服務來繞過瀏覽器安全設置,并在用戶不知情或未同意的情況下遠程啟用用戶的網絡攝像機(EPIC 對此提出了FTC投訴)。Zoom去年修補了此漏洞。
此外,關于北美用戶會話的加密密鑰需要經過中國服務器的違規問題,Zoom已經第一時間確認并完成整改,Zoom指出這是疫情期間北美服務器壓力過大增配服務器時“不小心”在白名單中錯誤地配置了兩個中國的數據中心。
Schneier指出,根據Zoom最近曝出的各種安全問題來看,這類不良安全決策、草率的編碼錯誤以及隨機的軟件漏洞還會有更多。
(4) 低級失誤:系統登錄憑據泄露漏洞(UNC注入攻擊)。Windows版Zoom應用程序(Mac系統也存在類似問題)會自動將通用命名字符串UNC(例如\\ attacker.example.com/C$)轉換為可點擊的鏈接(很多軟件都會區分對待URL和UNC,后者不應被轉換成可點擊鏈接而是以純文本發送)。如果目標點擊惡意UNC鏈接,則Zoom會將Windows用戶名和相應的NTLM哈希發送到鏈接中包含的地址,從而導致系統登錄憑據泄露。產品存在安全漏洞是很正常的事情,但是一些水準之下的漏洞,則會暴露一個創業公司的安全能力和安全意識的欠缺,對品牌的傷害很大!
Zoom安全風暴的三點啟示
雖然Zoom是一家純粹的美國科技創業公司,但是Zoom最近一周遭遇的“安全風暴”,足以引起中國科技公司的重視,在數字供應鏈全球化(我們盡量不摻雜經濟和政治話題)的今天,即使你不是所謂的“出海”公司,也應當清醒地思考以下幾個問題:
1. 繞不過隱私和安全大坑是基因缺陷?
我們的一些科技企業為什么老是在隱私保護的大坑翻車?去年底小米生態鏈企業Wyze泄露北美240萬用戶數據(也涉及到數據回傳中國服務器的指控)、前不久獵豹移動40多款應用被谷歌全線下架、微盟刪庫跑路……這些都是近半年來信手拈來的血跡未干的“成功創業”案例。這些公司真正重視過安全和隱私嗎?有CPO(首席隱私官)嗎?有年薪千萬的CISO嗎?有充足的網絡安全預算和人才嗎?有完善的風險管理、風險控制和安全運營架構嗎?有基于安全做頂層設計、流程設計和產品設計的“安全設計”思維嗎?董事會了解企業的安全現狀、安全威脅和安全策略嗎?這些企業是否考慮過,因為在國內行走江湖“賴以成名”的安全和隱私惡習“出海事發”,給后來的優秀科技企業在全球的市場的品牌形象上挖了多大的坑?
2. 網絡安全就是生命,網絡安全就是生產力,網絡安全就是創新力。
這句話,不知道有幾家企業真正理解了。筆者在一家融資上百億的國內醫藥研發公司看到的網絡安全問題,比“無癥狀新冠患者”還讓人不寒而栗。在這個高度不確定的時代,唯一能夠確定的一件事就是:如果沒有安全,其他隨時可能歸零,無論你曾經多么“敏捷”、“顛覆“、平地起高樓。
3. 開源不是甩鍋器,也不是擋箭牌和救命草。
焦頭爛額的Zoom創始人賭氣說:“我做不好就開源。” 開源,確實是不少科技企業領導的御用寶鍋,每當面臨安全和隱私方面的問題和(海外)監管困境,不是正視問題反省策略尋求正面突破,而是選擇用開源來作擋箭牌,這個思路是基于大眾多年以來形成的一個錯誤常識:開源更加安全(如果非要加上兩個字,就是終極)。
2019年開源軟件安全漏洞數量激增50%
數據來源:WhiteSource的2020年度開源軟件安全調查報告
事實上近年來開源的安全問題已經非常嚴峻,各種“手滑”、“后門”漏洞層出不窮,更是“供應鏈攻擊”的重要目標。因此,那些批評Zoom的安全專家們提議使用的分布式、免費和開源的Zoom替代方案——Jitsi,這很可能是一個更大的坑,企業用戶不要盲目入坑,拋開并不干凈的安全問題(但相比Zoom的現狀來說確實有優勢)不談,開源方案的可用性和可靠性,尤其是作為視頻會議產品來看,依然有很大的問題。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
