|
危机二月,Zoom像做着火箭般一飞冲天;转眼三月,频频爆雷深陷安全旋涡;直到四月,才迟迟推出安全措施,但已上了NASA、英国政府、SpaceX等组织机构的安全黑名单。 形势急转直下看似坐过山车,可在零日眼中,Zoom掉入安全雷区的背后,却源自内部长期忽视安全建设、技术实力弱,以及外部遭遇黑客围堵三方面原因。 底层安全建设埋雷。Zoom火于当下,却开发于9年前。作为一款专攻云视频会议的软件,Zoom主打的是体验、功能、容量、简单、性价比。看似基于用户需求,且稳扎稳打的耗时9年积累了1000万活跃用户。但这里始终没有强调过安全能力,应用安全、数据安全、通信安全仿佛从不是Zoom考虑的问题。也许,即使没有遇到当下的风口,Zoom安全爆雷也是迟早的事情。
( ) 安全隐患早露端倪。就像问题的暴露,不仅是单纯的质变还要有量的积累,2019年活跃用户逼近千万时,Zoom开始曝出数据安全与隐私问题。Mac Zoom Client曝出允许任何恶意网站,可在未经许下启用摄像头的漏洞,或导致全世界75万Zoom企业用户曝光。风波刚过,又紧接着曝出Zoom被黑客监听通话。激起水花不大,却暴露了安全短板。 隐患由来已久,安全管理上也存在问题。参照苹果、谷歌、微软这些巨头,曝出漏洞后常常第一时间修复,少有Zoom这样迟缓的安全响应机制。19年3月,安全厂商向Zoom上报了两个安全漏洞。而Zoom的响应速度是,先花10天时间确认漏洞,再用长达2个半月时间,直到6月才开始修复漏洞,期间Zoom就这样“带洞裸奔”。
BombingZoom……3月Zoom安全问题刷屏,但直到4月1日愚人节,Zoom创始人才正式在官网发布告用户书,不过期待安全解决方案的人要失望了。针对一系列安全问题,Zoom给出了相应的解决办法,是宣布暂停更新,集中工程师解决安全问题,但时间周期是90天。 咱们中国有句话叫德不配位,说的是德行无法匹配地位,而Zoom从头到尾对安全问题的忽视,以及拖沓的步调,正是做着超出自己安全能力边界的事情。 表面来看是Zoom忽视安全,深究则与Zoom安全技术存在短板脱不开关系。
虚假的隐私保密技术。报告证实,Zoom实际上只在ECB模式下使用了简单的AES-128密钥。换句话说,Zoom这个“邮差”能看视频“信件”的内容,而且“接头暗号”太过简单,难以保证用户通信安全。
不靠谱的代码开源预备案。3月,Zoom创始人公开表示,如果安全问题不解决,会考虑开源Zoom代码。从理论上来说闭源代码开源,是件可能触及商业模式的问题。但从安全问题上来看,却透着一丝“甩锅”的嫌疑。既然我自己没法解决安全问题,那就代码开源,企业用户自己动手吧。显然,这并不是补齐安全技术短板的最优解。
从开发、建设到解决问题的能力,Zoom一直在暴露自身安全技术不足。安全技术差不丢人,但一边收费一边无法保证2亿月活用户的安全需求,就是错。 内部存在安全短板,并不能最终使其短时间陷入安全旋涡,远程办公、线上社交的大潮下,一方面推动Zoom迎来几何式增长,另一方面也让其成为了各路黑客眼中的肥羊。
本季黑客眼里最肥目标。疫情之下,美股10天历经4次熔断,在一片跳崖式下跌中,Zoom股价三个月内飙涨70%,可谓十分的惊艳。但你不努力,自然有人努力取代你。云视频会议风口下,华为、思科WebEx、宝利通、微软Skype、谷歌等巨头正跃跃欲试的杀个回马枪,Zoom“炸子鸡”的优势正在丧失。
虽然已经聘请了Facebook前信息安全负责人担任安全顾问,着手应用安全升级,其实可以考虑寻找第三方企业,提供安全技术支持,2亿月活用户真心来之不易。
零日情报局作品 如需转载,请后台留言 参考资料: [2] 极客公园 《少年 Zoom 的烦恼》 [4] 蓝鲸财经《谁来挤破zoom的泡沫?》
| 
发表于 2021-3-30 04:04:10
|
/1 
