隐私

MHA警告禁止缩放:您应该继续使用它吗?

缩放无疑是一个引人注目的选项,它是免费的! 但是没有什么是免费的。由于MHA由于涉及安全性和隐私问题而提出警告,因此您应该继续使用Zoom吗?但是,如果必须的话,它要花多少钱?

人们为什么使用Zoom?

冠状病毒大流行改变了企业,组织和机构开展工作的方式。全球各地的封锁行动意味着,除了基本服务人员外,没有一个人可以踏出家门。许多组织甚至被迫适应形势,以生存下来,并提出适合形势的产品。

要使整个过程持续进行,最重要的部分是工作人员之间的协调,这迫使工作人员涌向视频会议解决方案,例如Zoom,Skype,Microsoft Teams等。由于不再有集成的工作场所并且所有人都在家工作,因此只是意味着攻击面已分散给黑客。因此,他们还试图修补他们的方法来掠夺良性互联网用户。除此之外,还有人使用Zoom举办聚会,宗教活动甚至英国内阁会议,从而使用户数量呈指数增长。

毫无疑问,Zoom是家庭旅的一项引人注目的选择。有很多优点。这里值得一提的是-它是免费的,但可以完成工作,功能丰富,并且是最容易使用的功能之一。这就是一旦出现视频会议的需求,Zoom突然出现在每个人心中的原因。建议说,鉴于不确定的情况,许多公司会在锁定开始之前就在员工的笔记本电脑上配置Zoom,以保持工作流程的持续,这是没有错的。目前,Zoom的使用量是Microsoft Teams的三倍。

Zoom在冠状病毒期间如何生长?

封锁将所有人限制在其居住区之后不久,大量新用户涌入,使Zoom的市值高达420亿美元。该平台从2019年12月的1000万[1000万]增长到2020年3月的2亿[2亿]。每天3月份,其下载页面的每日访问量增长了535%。

但是,在安全和隐私问题陷入僵局之后,看涨趋势无法持续很长时间,截至7日股价下跌了近14.5% 2020年4月。不久,纽约市教育局,NASA,SpaceX,Google等许多组织禁止缩放。 FBI收到教师使用该平台的骚扰报告后,警告不要使用它。台湾成为第一个禁止Zoom的国家,并表示如果使用该平台,将违反其2019年《网络安全管理法》所规定的规则。4月16日,内政部在CERT之后发布了一项咨询,在标记为高风险的威胁中,指出Zoom不是一个安全的平台,并且还制定了确保用户安全的准则。

缩放效果不好吗?

是。它是。诚然,Zoom从未设计用于如此广泛的用途。

“我们没有预见性地设计产品,因为在短短几周内,世界上每个人都会突然在家工作,学习和社交。 …我们现在拥有大量用户,这些用户正以各种意想不到的方式使用我们的产品,从而给我们带来了意料之外的挑战。”-Zoom Videocommunications Inc.首席执行官Eric Yuan

该平台的大量采用带来了对该服务的更严格的审查,并且出现了许多缺陷。事实证明,我们一直在使用Windows来防止入室盗窃。 (意外的双关!) 该平台存在许多缺陷,这些缺陷已被安全研究人员所认识。一些值得注意的是:

  • 伪造的端到端加密–尽管Zoom提供了启用E-2-E的选项,并提供了一个绿色的挂锁,声称“ Zoom使用的是端到端加密连接”,但实际上它并未使用端到端加密。端到端是指在呼叫之间加密的数据,从而阻止了第三方(包括服务提供商)。结果,该公司可以查看并使用这些数据来进行定向广告之类的事情。
  • 变焦炸弹–未经邀请的与会者可以访问Zoom会议并可能骚扰与会者。
  • 零日漏洞–零日漏洞是任何软件中未检测到的漏洞。由于未检测到它们,因此无法针对它们的利用采取防御措施。 Windows和MacOS的两个零日漏洞正在出售,其中包括一个RCE(远程代码执行)漏洞[理想用于工业间谍案中],该漏洞为完全PC收购铺平了道路。黑客正在以500,000美元的价格销售此特定漏洞。
  • 已删除,但未删除–如果有人单击该应用程序的录制功能,则默认情况下,缩放和云存储提供商不会通过密码保护视频。即使一个人从缩放帐户中删除了该视频,它也不会消失好几个小时才消失。更为可怕的是,可以使用Zoom自动分配给该文件的文件名来搜索这些视频。
  • 出售个人资料–Zoom收集并共享了广泛的用户数据,例如视频,成绩单和共享便笺,以谋取个人利益。在3月29日,Zoom收紧了其隐私政策,声明其不会将会议数据用于任何广告。但是当人们访问其营销网站(包括其首页zoom.us和zoom.com)时,它的确会使用这些数据。
  • 与Facebook共享数据–与用户使用Facebook SDK的许多其他应用程序一样,发现Zoom的iOS应用程序也将分析数据发送到Facebook,即使用户没有关联的Facebook帐户也是如此。此功能最近被删除。
  • 与会者跟踪–Zoom的“与会者跟踪”功能位于镜头下方,启用后,主持人可以检查通话过程中与会人员是否单击了主Zoom窗口。 4月2日,zoom永久删除了该功能。同样,如果会议是在本地录制的,则变焦会议主持人可以阅读通话期间发送的私人短信。
  • 恶意软件功能–Zoom使用一项技术来安装其Mac应用程序,而无需用户使用与macOS恶意软件所使用的相同技巧进行交互,因此无需用户提供最终内容即可安装该应用程序。
  • 数据挖掘–使用未公开的数据挖掘功能发现了缩放,该功能在用户登录时自动将用户名和电子邮件地址与他们的LinkedIn个人资料进行匹配-即使他们是匿名的或在通话中使用化名。
  • 电子邮件泄漏–一份报告显示,Zoom正在泄漏数千个用户的电子邮件地址和照片,并让陌生人尝试彼此发起呼叫。
  • 魔兽世界–搜索开放的Zoom会议ID,每小时发现大约100个不受任何密码保护的会议。

但是,仅查看这些指控不足以评估您的安全需求。看看惨败前后的Zoom行为是没有道理的。

Zoom如何处理这种情况?

通过射击自己的脚。 该公司解决了许多问题,发现了这些问题,收紧了隐私规则,并增强了安全功能。它进一步澄清说,该公司仅收集用户数据以改善服务,而绝不允许其员工访问会议中的特定内容,并且不出售任何类型的用户数据。该公司首席执行官本人坦白说:“我们认识到我们未能达到社区以及我们自己的隐私和安全期望。”该公司主动解决了用户的顾虑并发布了更新。它还自行设置了90天的功能冻结,以关注安全问题。

但是,随后该公司通过一种非常奇怪且难以理解的解释,证实了它可能使用欺骗性技术的怀疑。

“ W当我们在其他文献中使用短语“ end to end”时,是指从Zoom端点到Zoom端点之间的加密连接。”

那么,这对于普通的Zoom用户意味着什么?这意味着该公司对免费使用的功能建立了信任,同时将对安全性和隐私的关注降到最低,同时将其视为最佳安全性。无论公司为谁设计软件以及为谁设计软件,如果该软件免费提供给公众,则不需要火箭科学就可以预期公众会使用它。如果人们知道有缺陷的安全做法,那么该平台首先就不会成为一种选择,更不用说了 业务推动者 在电晕时代。

MHA反对使用缩放。您应该使用它吗?

如果免费的东西,那就是价格。没有什么是免费的。无论我们为Zoom的安全性和隐私忽视而责怪它多少钱,我们都无法承担责任。第一个原因是Zoom需要作为一家公司生存。那如果我们不付款怎么办?它使用我们的数据通过广告(甚至出售数据)来产生收入,广告是我们在使用其应用程序时收集的数据。第二个原因是,我们是否曾经担心安全性和隐私性?我们只有在发生不良情况时才采取对策。但是安全就是要主动。在被抢劫之后还是在悲剧发生之前,我们是否要在房屋中放一扇门?大多数问题可以通过应用程序本身严格的安全规则来解决。

但是,由于该应用程序最近已在安全监视中列出,因此可以肯定的是,未来几天还会出现更多的RCE和漏洞。它对您和您的会议伙伴构成了巨大威胁。那你应该继续变焦吗?

这取决于。

这取决于您使用该应用程序的目的以及无故障操作所需的安全程度。安全是上下文相关的。您无需购买几千卢比的超安全储物柜(成本为10万克拉)。同样,是否使用缩放取决于您的需求。如上所述,该漏洞可能对某些人而言是破坏交易的,而对于其他人而言则可能并非如此。因此,这里是一些已知漏洞的上下文。

  • 伪造的端到端加密–如果您使用Zoom进行休闲会议(一对一或几位与会者),则无需担心。但是对于私人会议和敏感会议,这是一个很大的问题。
  • 变焦炸弹–它并没有听起来那么大的安全威胁。但是,假设有人进行在线课程或网络研讨会,并且未知用户开始从他的计算机共享色情内容。这将令人尴尬和尴尬。您的会议很可能会随即结束,以及您的声誉。
  • 零日漏洞–零时差是最具威胁性的漏洞。它为黑客提供了一个进行创新的机会。还记得WannaCry吗?这是一个零日漏洞。在这类攻击中,黑客不会针对特定的受害者。他们使用各种方法来尽可能地传播感染,并且攻击面变得如此之大,以至总是有人不愿意丢失所有数据,并最终支付了所需的赎金。
  • 已删除,但未删除–这太可怕了。尽管对于网络研讨会和讲座来说并不多,但是对于企业而言,这是一场噩梦。但是,禁用该功能就足够了。
  • 出售和共享数据 Zoom已澄清,它不出售任何用户数据,也不允许任何员工访问会议中的任何特定内容。但是,不让员工访问会议内容以及不拥有与会议有关的数据是两件不同的事情。
  • 与会者跟踪–缩放功能已删除此功能,因此无需再担心它。
  • 恶意软件功能–这是一个严重的漏洞。由于该应用程序已经具有升级权限,因此攻击者可以使用该应用程序进行进一步的攻击。对于普通用户来说,它只是您不关心的另一种恶意软件。尽管它可以窃取凭据,信用卡信息,敏感的个人内容等。对于企业或高价值用户,您将承担存储有关企业或公司的任何数据的风险,因此,免费软件值得冒险。因此,强烈建议您远离Zoom。

过去,几个严重的漏洞也困扰着Zoom。被称为``窥视眼''的漏洞于2019年10月发现,使网络犯罪分子可以窥探在Zoom和Cisco WebEx平台上运行的视频会议。因此,说Zoom只是一个充满安全漏洞的合法软件,这是没有错的。尽管公司对发现的安全漏洞的快速反应恢复了一定的信誉,但以前使用的欺骗性策略,许多未公开的漏洞以及怪异的解释使Zoom很难推荐。

如果必须继续使用Zoom,如何保护自己?

掌握正确的基础知识可以缓解许多安全问题。一些缓解策略是:

  • 更新资料:更新是任何攻击的第一道防线。因此,请尽早更新,并尽可能频繁地更新。
  • 使用“等候室选项”:设置会议,以便参加者在打开会议之前无法加入。
  • 控制屏幕共享:默认情况下,任何使用Zoom的参与者都可以共享他们的视频,屏幕和音频。将屏幕共享功能限制为主机将停止任何Zoom轰炸。
  • 使用随机会议ID 并设置会议密码: 黑客正在出售已知的会议ID(以前被盗的和最近被泄露的),攻击者可以使用它们。因此,请使用随机的会议ID并设置密码。
  • 不要使用相同的方式发送网络链接 和密码:使用一种方式发送网络链接(电子邮件),使用另一种方式发送密码(例如,在会议开始之前发送短信)
  • 锁定设置: 无论您根据需要设置什么设置,请锁定设置,否则,用户可以在其个人设置中禁用该设置。
  • 选择正确的密码: 新用户使用的密码在其他地方已经被破解。在一份报告中,Cyble声称以每个帐户0.002美元的价格从说俄语的黑客那里获取了53,000个帐户和密码。
  • 禁用文件传输
  • 通过设置和控制,确保已删除的与会人员无法重新加入会议
  • 限制/禁用通话记录功能
甚至更好。只需使用其他具有更好安全性的平台即可!

特别感谢 进阶佛陀 斯瓦米(Swami)对本文的重要投入!

本文最初发布在MyLawrd.com上,可以访问 这里.

参考文献:

  1. CERT-In咨询CIAS-2020-0010,“安全使用Zoom视频会议应用程序”。 //www.cert-in.org.in/s2cMainServlet?pageid=PUBVLNOTES02&VLCODE=CIAD-2020-0010
  2. CERT-In咨询CIAD-2020-0011,“缩放视频中的多个漏洞”会议应用程序。 //www.cert-in.org.in/s2cMainServlet?pageid=PUBVLNOTES02&VLCODE=CIAD-2020-0011
  3. “管理会议的参与者”。 //support.zoom.us/hc/en-us/articles/115005759423
  4. IT专业人员; FBI警告称,在冠状病毒使用量激增的情况下,“ Zoom-bombing”黑客已经身亡, //www.itpro.co.uk/security/cyber-crime/355171/fbi-warns-of-zoom-bombing-hackers-amidst-coronavirus-usage-spike
  5. 黑客新闻,“网络安全辩论引发了变焦”。 //thehackernews.com/2020/04/zoom-cybersecurity-hacking.html
  6. IT PRO,‘Zoom承认会议不会’不要使用端到端加密-IT PRO”。 //www.itpro.co.uk/software/video-conferencing/355180/zoom-does-not-use-end-to-end-encrypted
  7. CNET,“即使您删除了您的Zoom视频,也可以将其保存在云中”。 //www.cnet.com/news/your-zoom-videos-could-live-on-in-the-cloud-even-after-you-delete-them/
  8. IT专业人员,“骇客以$ 500,000美元的价格宣传重要的Zoom Windows错误”。 //www.itpro.co.uk/security/vulnerability/355339/hackers-marketing-critical-zoom-windows-client-bug-for-500000
  9. CNN商业版,‘Zoom执行长致歉‘fallen short’关于隐私和安全”。 //edition.cnn.com/2020/04/02/tech/zoom-ceo-apology-privacy/index.html]
  10. 印刷品“ MHA说Zoom应用程序不安全,它为仍要使用它的用户发布了指南”。 //theprint.in/india/mha-says-zoom-app-not-safe-issues-guidelines-for-those-who-still-want-to-use-it/403051/]
  11. IT PRO,‘Zoom承认会议不会’请使用端到端加密”。 //www.itpro.co.uk/software/video-conferencing/355180/zoom-does-not-use-end-to-end-encrypted
  12. IT PRO,“ Zoom轰炸”使Zoom的股票暴跌”, //www.itpro.co.uk/marketing-comms/communications/355252/zoom-bombing-sends-zoom-stuck-plummeting
  13. IT PRO,“台湾成为出于安全考虑而禁止Zoom的第一个国家”。 //www.itpro.co.uk/software/video-conferencing/355257/taiwan-first-country-to-ban-zoom-amid-security-concerns?_mout=1&utm_campaign=i
  14. 黑暗阅读,“历史上最高的想哭检测”。 //www.darkreading.com/endpoint/wannacry-detections-at-an-all-time-high/d/d-id/1335848

标签

相关文章

发表评论