近日来,全球知名科技媒体、企业和机构(Wired、Intercept、Motherboard、Krebs、Citizen Lab、特斯拉、NASA等等)集体声讨Zoom的安全和隐私问题,一时间,国内媒体报道中“中国威胁论”、“地缘政治科技化”、“Zoom与Tiktok、华为、大疆一起被针对”的论调甚嚣尘上,甚至掩盖了对Zoom事件实质性和专业性的探讨的声音。以下,我们简要梳理Zoom事件的关键事实、关键问题和权威专家观点,方便读者自行解读和分析。
在展开讨论之前,我们先罗列几个基本事实作为开胃菜:
- Zoom处理和整改安全和隐私问题的态度和速度很好,迄今为止都是非常坦诚和高效的。
- Zoom的安全性,对于大多数普通用户和非关键任务团队协作来说都是足够的。普通用户无需为Zoom的大量负面报道而困惑,目前Zoom的“安全风暴”,更多还是专业领域的讨论。
Zoom安全问题的三个风暴眼
作为纯正的美国公司,所谓的爱国话题,仅仅是因为Zoom的创始人是土生土长的山东人,而Zoom本身的成长,也与国内庞大的低成本高效率开发团队以及行业用户密不可分,事实上被思科收购的WebEx的成功也离不开中国程序员,这并不是Zoom的“原罪”。
我们就事论事,先来看看“全球第一抗疫潜力股”Zoom近期为何会“焦头烂额”,Zoom的网络安全和隐私问题是否真的那么严重?密码学大咖Schneier的说法将Zoom的问题分为三大类:
- 不良的隐私惯例;
- 不良的安全惯例;
- 不良的用户配置。
以下,我们将被业内专家和媒体控诉最多的,用户最关注的隐私和安全问题梳理如下:
1. 不良的隐私惯例
产品功能侵犯用户隐私。正如安全牛之前报道过的,Zoom的客户端在使用过程中,会有很多“小功能”需要留神,例如老板可以知道你是否在专注会议,是否最小化了窗口敷衍了事,甚至会议记录和用户之间聊天的文本信息的访问权也都缺乏透明度。
在用户不知情的情况下与Facebook和Google等“怪兽”分享用户数据。
3月26日,《Motherboard》刊文指出,只要是在iOS系统下载或打开Zoom App时,Zoom就会通过Facebook SDK路径向Facebook传送用户隐私信息,就连非Facebook用户也是如此。
Zoom会秘密显示人们LinkedIn个人资料中的数据,这使一些会议参与者可以互相窥探。
2. 不良的安全惯例
(1) 糟糕的安全设计——Zoom Bombing。会议ID很容易猜测,加入在线会议session也无需更多认证,任何人都可以通过遍历或者猜测闯入一个在线会议,分享色情视频或者冒犯性内容。新冠期间全球大量用户遭受Zoom Bombing攻击,甚至很多是中小学在线课程,影响极为恶劣,Zoom产品本身的“安全设计”有着不可推卸的责任。
(2) 夸大产品安全功能(端到端加密)。在网站和营销材料中使用“端到端加密”字样,但实际上(如果不是逻辑上)并非如此,Zoom既没有提供严格意义上的端到端加密功能,其加密强度也存在夸大嫌疑(加拿大公民实验室分析发现Zoom声称的AES-256加密并不存在,所有与会者都是以ECB模式使用单个AES-128密钥来加密音频和视频),会让用户产生不必要的安全感。其实Zoom最大的问题并非没有采用端到端加密,要知道苹果公司花了多年时间才实现了FaceTime端到端加密(限32人),而Google的企业级Hangouts Meet平台甚至都不提供端到端加密,而每个会议最多只能容纳250名参与者。Zoom的问题是不诚实!
目前就Zoom加密问题发声的密码学家都强调说,Zoom的集中式密钥管理系统和不透明的密钥生成是该公司过去的端到端加密声明以及当前混乱的消息传递的最大问题(专家们并没有揪住在中国设置密钥服务器的问题,因此一心想把这个问题政治化的人,只敢在娱乐媒体平台上混淆视听)。实际上不仅是Zoom,大多数多方视频会议应用都难以做到真正的端到端,但是,人家没有玩文字游戏,没有糊弄用户。
(3) 非受迫性失误:摄像头后门和“中国服务器”。Schneier指出,这并不是Zoom第一次在安全性上草率行事。去年,一位研究人员发现Mac Zoom Client中的漏洞允许任何恶意网站未经许可就启用相机。这似乎是一个蓄意的设计选择:Zoom设计了其服务来绕过浏览器安全设置,并在用户不知情或未同意的情况下远程启用用户的网络摄像机(EPIC 对此提出了FTC投诉)。Zoom去年修补了此漏洞。
此外,关于北美用户会话的加密密钥需要经过中国服务器的违规问题,Zoom已经第一时间确认并完成整改,Zoom指出这是疫情期间北美服务器压力过大增配服务器时“不小心”在白名单中错误地配置了两个中国的数据中心。
Schneier指出,根据Zoom最近曝出的各种安全问题来看,这类不良安全决策、草率的编码错误以及随机的软件漏洞还会有更多。
(4) 低级失误:系统登录凭据泄露漏洞(UNC注入攻击)。Windows版Zoom应用程序(Mac系统也存在类似问题)会自动将通用命名字符串UNC(例如\\ attacker.example.com/C$)转换为可点击的链接(很多软件都会区分对待URL和UNC,后者不应被转换成可点击链接而是以纯文本发送)。如果目标点击恶意UNC链接,则Zoom会将Windows用户名和相应的NTLM哈希发送到链接中包含的地址,从而导致系统登录凭据泄露。产品存在安全漏洞是很正常的事情,但是一些水准之下的漏洞,则会暴露一个创业公司的安全能力和安全意识的欠缺,对品牌的伤害很大!
Zoom安全风暴的三点启示
虽然Zoom是一家纯粹的美国科技创业公司,但是Zoom最近一周遭遇的“安全风暴”,足以引起中国科技公司的重视,在数字供应链全球化(我们尽量不掺杂经济和政治话题)的今天,即使你不是所谓的“出海”公司,也应当清醒地思考以下几个问题:
1. 绕不过隐私和安全大坑是基因缺陷?
我们的一些科技企业为什么老是在隐私保护的大坑翻车?去年底小米生态链企业Wyze泄露北美240万用户数据(也涉及到数据回传中国服务器的指控)、前不久猎豹移动40多款应用被谷歌全线下架、微盟删库跑路……这些都是近半年来信手拈来的血迹未干的“成功创业”案例。这些公司真正重视过安全和隐私吗?有CPO(首席隐私官)吗?有年薪千万的CISO吗?有充足的网络安全预算和人才吗?有完善的风险管理、风险控制和安全运营架构吗?有基于安全做顶层设计、流程设计和产品设计的“安全设计”思维吗?董事会了解企业的安全现状、安全威胁和安全策略吗?这些企业是否考虑过,因为在国内行走江湖“赖以成名”的安全和隐私恶习“出海事发”,给后来的优秀科技企业在全球的市场的品牌形象上挖了多大的坑?
2. 网络安全就是生命,网络安全就是生产力,网络安全就是创新力。
这句话,不知道有几家企业真正理解了。笔者在一家融资上百亿的国内医药研发公司看到的网络安全问题,比“无症状新冠患者”还让人不寒而栗。在这个高度不确定的时代,唯一能够确定的一件事就是:如果没有安全,其他随时可能归零,无论你曾经多么“敏捷”、“颠覆“、平地起高楼。
3. 开源不是甩锅器,也不是挡箭牌和救命草。
焦头烂额的Zoom创始人赌气说:“我做不好就开源。” 开源,确实是不少科技企业领导的御用宝锅,每当面临安全和隐私方面的问题和(海外)监管困境,不是正视问题反省策略寻求正面突破,而是选择用开源来作挡箭牌,这个思路是基于大众多年以来形成的一个错误常识:开源更加安全(如果非要加上两个字,就是终极)。
2019年开源软件安全漏洞数量激增50%
数据来源:WhiteSource的2020年度开源软件安全调查报告
事实上近年来开源的安全问题已经非常严峻,各种“手滑”、“后门”漏洞层出不穷,更是“供应链攻击”的重要目标。因此,那些批评Zoom的安全专家们提议使用的分布式、免费和开源的Zoom替代方案——Jitsi,这很可能是一个更大的坑,企业用户不要盲目入坑,抛开并不干净的安全问题(但相比Zoom的现状来说确实有优势)不谈,开源方案的可用性和可靠性,尤其是作为视频会议产品来看,依然有很大的问题。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】