新冠肺炎疫情期间,视频会议软件使用量激增,其中表现最为抢眼的就是Zoom了。Zoom最吸引人的地方就在于“简单好用”,但“简单好用”的代价就是安全漏洞太多,隐私问题无法保障。2020年4月,美国国家安全局前研究员帕特里克·杰克逊(Patrick Jackson)向华盛顿邮报爆料,Zoomp存在重大安全漏洞:数以万计的私人Zoom视频被上传至公开网页,任何人都可在线围观!
在重重压力之下,3月底,Zoom承认,虽然它使用了标准的网络浏览器数据加密,但并没有使用行业标准的端到端加密,该公司随后宣布冻结新功能开发,全力提高安全性,并致力于新的加密解决方案。近日,Zoom表示,预计从下周开始,将为包括免费和付费在内的所有用户推出端到端加密(E2EE)功能。在E2EE会议中,最多可以容纳200位参与者。
Zoom最初于5月初宣布了端到端加密会议的计划,它使得所有用户生成公共加密身份,以在与会人员之间建立信任关系。
Zoom的端到端加密会议
从下周开始,Zoom的E2EE将在头30天提供技术预览,以获取用户的反馈。
缩放端到端加密会议将不支持电话桥,云录音或Zoom以外的会议室系统。
Zoom的E2EE加密是建立在现有GCM(Galois/Counter Mode)加密之上的,因为GCM是流密码,而不是块密码,它适合视频会议。
在主持会议时,主持人会生成加密密钥,并使用公共密钥密码术将这些密钥分发给其他会议参与者。
换句话说,Zoom服务器仅充当中继器,它们无法获取解密会议内容所需的加密密钥。
“采用端到端加密后,Zoom向着成为世界上最安全的通信平台迈出了一大步。”Zoom的首席执行官Eric S. Yuan如此说道。
想要使用的话,用户应当在当前账户级别启用Zoom’s E2EE。
目前,在当前版本的Zoom会议中启用E2EE会禁用某些功能,包括在主持人之前加入会议、云记录、流媒体、实时转录、分组讨论室、投票、1:1私人聊天等等。
如果您使用的是端到端加密,那么与会者可以在会议屏幕的左上角找到一个中间带有挂锁的绿色盾牌徽标,以表明他们的会议正在使用E2EE。
本文翻译自:https://btlr.dev/blog/how-to-find-vulnerabilities-in-code-bad-words如若转载,请注明原文地址。