Zoom隱私安全問題大爆發,CEO袁徵:過程真的太痛苦了

隨著 COVID-19 疫情在全球蔓延，遠程辦公需求愈發增加，主打多人視頻會議的 Zoom 公司受到了越來越多的關注，不僅全球用戶數量激增，而且市值逆勢上揚，較去年 IPO 翻了兩倍，一時間風頭無兩。

可是人紅是非多，Zoom 的確吸引了大量用戶，但同時也吸引了網絡安全專家和媒體的目光，旗下產品幾乎是被放在顯微鏡下觀察，成立 9 年以來從未有過。

結果就是近半個月以來，這款視頻會議軟體接二連三地被爆出安全和隱私漏洞，遭到 SpaceX 和 NASA 內部禁用，甚至連美國聯邦調查局（FBI）也發出警告，提醒用戶使用 Zoom 時注意網絡安全問題，不要在社交媒體上廣泛分享會議連結，以防機密信息被黑客獲取。

（來源：Threatpost）

經統計，Zoom 經歷的問題和質疑可以概括如下：

由於Zoom軟體的默認設置，有人可以在未被邀請的情況下參與和惡意攪亂視頻會議，迫使會議中止。這種惡搞行為被稱為「Zoom-bombing（Zoom炸彈）」；Zoom宣稱視頻使用了端到端加密，但實際情況並非如此；數據收集和使用不透明，沒有透明度報告，而且iOS版Zoom應用會在未經用戶授權的情況下，向Facebook發送分析數據；桌面版Zoom程序存在漏洞，可能會洩露Windows和MacOS用戶的登錄憑據；北美用戶在視頻通話時，Zoom偶爾會從中國伺服器獲取數據加密密鑰。面對大大小小的漏洞和質疑，Zoom 公司 CEO 袁徵（Eric Yuan）於 4 月 1 日正式公開道歉，承諾在未來 90 天內暫停所有新功能開發，動用全部工程師資源解決現有問題，修復過程保持透明，並且出臺有關用戶數據的透明度報告，以重塑信心。同時還會強化現有漏洞懸賞計劃，在每周三召開視頻講話，向社區透露問題修復的最新進展。

「我們歡迎您繼續提出問題和提供反饋，我們一直以來的首要目標都是讓用戶滿意，並確保我們平臺的安全性和隱私性值得所有人信任，」袁徵在信中寫道。

損人不利己的「Zoom 炸彈」

3 月中旬，北美 COVID-19 疫情愈發嚴重，不僅各大公司開始強制要求員工在家工作，很多學校也紛紛開始遠程授課。雖然 Zoom 此前一直主要針對企業用戶，但作為一款可以免費使用的在線視頻會議軟體，也受到了很多老師的青睞，把它當成是「雲上課」工具。

這本來是 Zoom 擴大用戶群的絕佳機會，然而自 3 月 15 日以來，有多家媒體紛紛爆出學生使用 Zoom 上課卻遭遇不明人士亂入的事故，從中學生，到大學教授，再到瑜伽老師都沒能倖免。

很多人在社交媒體上大吐苦水，抱怨惡搞者故意大吼大叫，播放歌曲，還有人貼出種族歧視圖片，甚至公然播放成人視頻，迫使授課或會議中斷，造成了十分惡劣的影響。

更過分的是，如果會議主持人不熟悉 Zoom 設置，那麼即使封掉入侵者，他還會換個馬甲重新進入，導致會議根本無法繼續。

由於這種現象不在少數，故而得名「Zoom-bombing（Zoom炸彈）」。

南加州大學校長 Carol L. Folt 專門發表公開信譴責這種行為，「我對學生和教師不得不親眼目睹這種卑劣的行為感到非常難過。」

在缺乏有效監管，而且很多人都閒在家裡極度無聊的情況下，模仿這種行為的風氣愈演愈烈，一度有人在某些論壇上傳授如何製造「Zoom炸彈」。

好多人還會沆韰一氣，在社交平臺上召集戰友，有針對性地聯手破壞一場會議。雲會議本身的機制導致人們很難追蹤他們，更別提懲罰他們。

必須強調的是，不懷好意的惡搞者是罪魁禍首，但 Zoom 軟體面臨的輿論譴責並非無理。

由於 Zoom 會議 ID 的規律性（9-11位數字），一名網絡安全專家已經編寫出程序，可以自動掃描未經加密的會議，一小時就能搜到 100 個左右。

圖 | 安全專家曬出 Zoom 會議 ID 自動搜索工具（來源：Twitter）

對於搗亂者來說，Zoom 的很多默認設置就相當於敞開大門，歡迎他們來搞事情；這大大增加了會議受到不速之客打擾的機率。比如改版前的會議連結默認不需要密碼，任何人都能加入，同時「允許其他與會者共享屏幕內容（無需主持人批准）」也是默認選項。

這兩條合起來就好比告訴陌生人：這是我家地址，不用鑰匙就能進，來了就別客氣，把這當成自己的家。相比之下，微軟等公司的同類雲辦公軟體更加克制，通常默認由會議主持者控制屏幕共享等功能。

好在 Zoom 亡羊補牢，幾周內連續出臺了補救措施和設置指南，包括如何讓會議更安全的教程，以及默認開啟會議密碼和等待室選項，防止有人不請自來，或者在主持人準備好之前進入會議搗亂。

圖 | FBI發出警告，「Zoom炸彈」入侵視頻會議的事故數量激增（來源：FBI）

為了進一步打擊「Zoom炸彈」，美國司法部下屬的密西根州東區檢察官辦公室發表聲明稱，非法入侵視頻會議的人可能會被指控犯有州或聯邦罪行，任何受到騷擾的人都可以向 FBI 舉報。

「你覺得Zoom炸彈很好玩？讓我們走著瞧，看看你被捕了之後還覺得它好玩嗎？」州檢察官 Matthew Schneider 直言不諱。

端到端加密危機

退一步講，在「Zoom炸彈」事故中，Zoom 出現設計邏輯漏洞情有可原。畢竟疫情發酵之前，其目標群體是企業內部員工，類似「無需允許就可以共享屏幕」的產品邏輯，基於會議參與者都是受信賴的前提考慮也說得過去，並非觸及網絡安全的根本問題。然而它接下來被曝光的安全問題，則將其面臨的考驗提升了一個新高度。

首先是 Zoom 宣稱其視頻經過端到端加密，這被廣泛認為是最私密的網際網路通信方式，能有效保護用戶的通信內容不被第三方（包括 Zoom 自己）接觸到。

但據 The Intercept 報導，實際上 Zoom 僅在部分文本信息和部分模式的音頻中使用了端到端加密，而在至關重要的視頻和電話通信方面則並未使用這一加密方式。

事實上，Zoom 曾在一份官方文件中承諾，將使用端到端方式對會議內容進行加密，甚至是在加密模式下使用該應用進行視頻會議時，界面上方還有「正在使用端到端加密」 的字樣。

但被問及視頻會議是否在實際上通過端到端加密時，Zoom 的發言人表示：現階段，不可能為 Zoom 平臺上的視頻會議啟用端到端加密。

圖 | 截圖顯示 Zoom 特意在使用時強調自己使用了端到端加密連接，見左上角（來源：The Intercept）

在端到端加密的模式下，視頻和音頻內容需要經過加密處理，而只有會議的參與者才擁有密鑰，有能力對數據進行解密。在這過程中，Zoom 雖然可以訪問到加密內容，但由於不掌握密鑰而不具備解鎖的能力。

在實際的運營中，Zoom 在保護會議視頻內容的加密方式是 TLS（Transport Layer Security，傳輸層安全協議），跟很多網站使用的HTTPS傳輸協議相同。也就是說，其安全程度跟保護網頁流量不被監聽差不多。

具體來說，用戶在電腦或手機上運行 Zoom 時，設備端到 Zoom 的伺服器之間是加密的。但不同於端到端加密的關鍵點在於， Zoom 自己具備訪問未被加密的視頻和音頻內容的能力。

因此在採用 TLS 加密方式下，用戶的視頻或音頻內容可以防止被第三方竊取，比如通過 WIFI 監視的方式，但這些內容和數據並不能在 Zoom 這裡保證安全。

在這一問題上，Zoom 回應稱，Zoom 不會訪問、竊取和出售用戶數據。

圖 | Zoom官網稱連結和數據分別經過TLS加密和AES-256加密（來源：Zoom）

Zoom 發言人解釋道，公司在文件中提到的「端到端」 指的是不同的 Zoom 端點之間的加密。這種說法是將 Zoom 的伺服器視作是一個端點，這種做法和以往的常規理解並不相同。

約翰 · 霍普金斯大學的密碼學家和計算機科學教授 Matthew Green 指出，多人參與的在線視頻本身是很難進行端到端加密的，這是因為平臺需要在會議過程中識別哪個用戶正在通話，並將這名用戶的高解析度視頻流分發給其他參會者，而對於其他的未講話的參與者，平臺只會提供低解析度的視頻流。

「如果都是端到端加密，你需要更多額外的步驟。」 Matthew Green 表示，「這是可行的，但並不容易。」他指出，蘋果在自家的視頻通話軟體 Facetime 上就使用了端到端加密。對於這種疑似欺瞞行為，他表示，Zoom 在端到端加密的解釋上有點模糊。

洩露系統登陸憑據

除了備受爭議的加密手段，Zoom 還被多個信息安全專家點名，稱其 Windows 和 Mac 版軟體均存在暴露用戶登錄憑據的風險。

以 Windows 版本為例，Zoom 的聊天系統會自動將 URL 地址轉換為可以點擊的連結，以便其他用戶導航到對應網站。比如發送 google.com 文本，就會以連結的形式發出。

但是 Zoom 還會將 Windows 系統的 UNC 路徑同樣轉換為連結。UNC 路徑通常被用於訪問網絡路徑、設備或文件，比如連接區域網內的印表機。

圖 | 利用UNC注入攻擊和工具獲取用戶的登錄憑據，注意右邊對話框裡的連結，不同於普通URL地址，這是一個經過偽裝的UNC路徑（來源：Twitter/Hacker Fantastic）

如果用戶點擊這種連結，Windows 會使用 SMB 文件共享協議與該地址通信。默認情況下，系統會嘗試使用用戶名和 NTLM 密碼哈希值登錄，以訪問該設備或網絡文件夾。有經驗的黑客可以藉助 Hashcat 這樣的免費工具來逆向運算，破解密碼。

通常來說，很多軟體都會區分對待 URL 和 UNC，後者不應該被默認加上可以點擊的連結樣式，而是應該以純文本的形式發送，以防有人誤點。

最早公布這一漏洞的安全人員已經證實了 UNC 注入攻擊的可行性，不僅捕獲和破解了登錄憑據，還能啟動命令提示符（CMD）等本地程序。

目前 Zoom 已經獲悉了漏洞的存在，尚不清楚是否已經修復。

數據不透明和中國伺服器

最後，作為一款視頻會議軟體，另一個老生常談的話題就是用戶數據收集和透明度。在這方面，Zoom 顯然還需要更多努力。

根據 Motherboard 的分析，由於 Zoom 的 iOS 版應用使用了 Facebook 的 Graph API，即使用戶沒有 Facebook 帳戶，該應用也會向 Facebook 發送一些分析數據，比如在應用開啟時通知 Facebook，並且發送設備型號、時區、所在城市、電信運營商和廣告 ID 等信息。

經媒體曝光後，Zoom 目前已經刪除了發送數據的代碼。

事實上，這種行為並不少見，亞馬遜旗下的智能門鈴 Ring 也出現過類似問題。鑑於這種數據發送行為並未明確出現在 Zoom 公司和軟體的隱私條款中，目前已經有人對其提起了集體訴訟，理由是未經用戶允許向 Facebook 發送數據。

圖 | Zoom公司CEO袁徵（來源：路透社/Carlo Allegri）

一些用戶還發現，Zoom 會議管理者可以獲得的監管信息非常多，包括與會者的 Zoom 窗口是否活躍，短時間內是否開啟了其他頁面，以及他們的 IP 地址、設備信息和所在地等等。這讓人們開始擔憂自己的隱私是否過分暴露。

紐約總檢察長 Letitia James 最近也向 Zoom 寫信，要求公司提供保護數據隱私和安全的詳細資料，稱其「解決安全漏洞的速度一直很慢」，擔心惡意第三方能夠秘密訪問用戶的網絡攝像頭。

除此之外，在地緣政治角力的大環境下，Zoom 創始人袁徵和公司研發團隊的中國背景也被放在聚光燈下審視。

加拿大多倫多大學 Citizen Lab 的研究人員在 4 月 3 日披露，Zoom 軟體偶爾會將包含加密密鑰的數據發往中國伺服器，即使用戶身在北美。

他們多次測試後發現，該軟體使用的 AES-128/256 密鑰足夠有效，但使用美國還是中國的密鑰伺服器似乎沒有規律。

圖 | Zoom 偶爾會從北京的密鑰伺服器獲取密鑰（來源：多倫多大學 Citizen Lab）

雖然研究人員在安全測試報告中還指出了其他問題，比如會議等待室存在安全漏洞（待修復後披露），也肯定了 Zoom 的一些加密措施；但僅密鑰伺服器放在中國一條吸引了最多關注。

也正是基於這一問題，多倫多大學的研究人員不建議涉及機密和敏感信息的會議使用 Zoom，實現「防患於未然」。對於 Zoom 來說，如果不做出改變，未來或許再看不到英國首相使用 Zoom 了，恐怕還會有更多麻煩找上門來。

Zoom 公司顯然深知這一點，僅用不到一天的時間就公開回應，稱已經修復了這一意外錯誤，中國伺服器不會再成為北美的備用路徑。

官方給出的理由是近兩個月用戶量激增，導致北美伺服器承擔了過大壓力，為了緩解壓力額外增配了伺服器，但在白名單中錯誤地配置了兩個中國的數據中心。此前曾一直限制不讓北美流量通過中國伺服器。

正所謂樹大招風，短時間內獲得如此之高的關注度，谷歌和微軟可能都沒享受過這種待遇。我們也不得不承認，Zoom 這一個月真是太難了，一系列問題接踵而至。

但歸根結底，拋開地緣政治問題不談，如果產品品質過硬，技術紮實，邏輯完善，經得起推敲和拆解，自然也不會經歷這些。對於一家成立 9 年，市值超 300 億美元的公司來說，關於數據、隱私和安全的要求並不苛刻。

有一說一，Zoom 目前處理問題的態度可圈可點，經常能看到及時發表的長篇聲明，言辭懇切，整改問題的效率也不低。如果能夠化危機為機會好好把握，經歷陣痛未嘗不是一件好事。

「我每天就感覺好像有某股力量在暗中搗鬼，想要摧毀我們。可是我太忙了，根本沒時間想這些陰謀論。」 在最近一次接受《華爾街日報》採訪時，CEO 袁徵坦誠地表示。

「我希望在（疫情）之後可以回歸商業客戶群，但如果我們能吸取教訓，變得更好更強，這一切也許是值得的，只是過程真的太痛苦了。」