Zoom泄露门:可以任意观看会议视频

由于COVID-19新冠状病毒的大流行,越来越多的用户将工作和社交生活转移到线上,会议应用程序Zoom的用户数量在成倍增长。但是,随着这种线上工作热潮,安全和隐私研究人员也对该应用进行了越来越多的审查,事实证明Zoom不断被发现许多问题。近日据外媒报道,成千上万的Zoom云记录视频在网络上曝光,这也揭露了软件本身的隐私安全性问题。

据悉,由于Zoom对其会议记录的命名方式存在问题,大量的Zoom会议视频被会议发起者上传到了不同的视频网站和视频云。目前,许多视频都被发布在未受保护的亚马逊云计算平台上,使得通过在线搜索找到它们成为可能。而且这些泄露的视频,被其他用户扫描后上传到了YouTube、Google、Vimeo等各大视频门户网站上。人们通过这些泄露的视频可以看到治疗会议、商务会议、小学上课等记录。事件发生后,Zoom已经被告知这个问题,但不清楚该公司是否会改变其视频的命名方式,或者是否会保护亚马逊托管的视频。

对此,安全研究员肯恩·怀特表示, 此次事件表明Zoom从未具有最核心的安全和私有服务,而且Zoom的系统中肯定存在一些关键漏洞。但是在许多情况下,为了线上会议,大多数公司和个人没有很多其他选择。

根据研究,即使在COVID-19新冠状病毒大流行发生之前,Zoom应用的开发团队也是优先考虑易用性而不是安全性和隐私性问题的。早在去年夏天,一位研究人员就发现了Zoom的一个漏洞,该漏洞主要关于Zoom如何无缝地将用户加入呼叫链接并共享其相机内容,对此Zoom无需进行任何初步检查就可以让用户启动该功能。这是非常不安全的,因为这意味着攻击者可以通过精心设计该功能链接,从而使他们可以一键立即访问用户的相机。

对于Zoom此次的隐私安全问题,Zoom创始人兼首席执行官Eric Yuan在公开声明中写道,公司正在暂停功能开发,以便其工程师专注于安全性和隐私保护方面的技术改进。Yuan表示,在接下来的90天之内,Zoom还将进行第三方安全审核和渗透测试,扩大其大赏金计划,并在公司层面预计从政府和执法机构等组织收到一份透明报告。

此次事件提醒我们每一个开发者,在任何软件的设计之初都要考虑两方面问题,一是功能,二是安全;作为消费者更是要了解一个软件的安全情况后再使用这个软件,不要因为免费好用就肆无忌惮的使用!

记得在刚刚工作期间,项目方只知道要求进度实现功能,从不关心软件的安全测试工作,随着网络时代的来临,那些未经过严格安全测试的软件终将造成不可挽回的损失!

而这些损失又要由谁来负责呢?