Zoom安全危机(上)

Zoom面临首次安全危机,该公司CEO将如何回应?

七月九日,Zoom被技术安全部门叫停,因为安装了Zoom应用的Mac电脑在使用网络摄像头时有潜在的安全漏洞。对用户来说,没什么比他们的网络摄像头在监视他们的举动更令人毛骨悚然了。因过于害怕,用户们在电脑摄像头上安装了塑料滑盖,而新出厂的笔记本电脑大多安装了嵌入式摄像头盖。

USA Today以“Zoom Communications可悄无声息地访问您的网络摄像头”为题大做文章。

Jonathan Leitschuh于同一天有关此事发布了博客文章,这很可能是导火线,会引发Zoom的一次巨大公关危机。作为Zoom的首席执行官, Eric Yuan如何应对这次危机呢?他邀请了250名网络安全黑客,与他一起参加Zoom视频会议!

Eric Yuan冷静、周到、不失尊重且耐心地用术语回应了安全团队的质问。毕竟他本职是一名工程师!很难想象在没有律师团陪护的情况下,一家拥有250亿美元市值的上市公司首席执行官参加了这样一场会议。他这样的实际行动赢得了安全团队的尊重。

(图中左起第3位是Eric Yuan)

这类以夸张标题夺人眼球的博客文章显然会令任何上市公司的CEO大惊失色(特别是在交易日开盘期间)。但是这篇文章没有令Zoom措手不及。相反,安全组早在2019年3月初就明确告知了Zoom他们的调查结果。

让我们回过头来尝试了解真正的问题出在哪里。Zoom一直致力于使其应用程序快速而完美地运行。要做到这两点,Zoom必须在技术上加以改进。

Zoom允许用户使用标准URL来开启视频会议。我们都能做到这一点。单击链接,打开网页,然后启动Zoom客户端。这很方便。坦率地说,我喜欢Zoom的操作方式。

但是,如果用户使用相同的链接、将其嵌入您自己的网站并隐藏此链接——任何在访问该页面的Mac用户都会立即开启Zoom会议。更糟糕的是,如果有人正确设置链接,他就可以强制使Zoom用户立即开始向他显示自己的摄像头。这样做可能是合理合法的,但是也有可能出于恶意。

同样,如果有人心怀不轨,他可以创建一个Zoom链接,嵌入某恶意网站,在Zoom用户的计算机上创建拒绝服务的攻击。哦,这个黑客甚至会觉得非常开心呢!(注意:Zoom当前版本已修复了这个问题)。

原文标题:Zoom Security

作者:Chris Kranky

填写常用邮箱,接收社区更新

WebRTC 中文社区由

运营