隐私

MHA警告Zoom:你应该继续使用吗?

缩放无疑是一个引人注目的选择,它是免费的! 但没有什么是自由的。由于MHA因涉及的安全性和隐私问题警告它而受到警告,您是否应该继续使用缩放?但如果你必须,它需要多少钱?

为什么人们使用zoom?

Coronavirus大流行改变了业务,组织和机构的方式。世界各地的锁定锁定意味着除了基本服务工人外,不是一个人,可以让他们的脚远离他们的家园。许多组织甚至被迫适应这种情况,以便生存,并提出并营造出局势的产品。

保持整个过程持续的最重要部分是工人之间的协调,这是强迫工人植入视频会议解决方案,如缩放,Skype,微软团队等。由于没有更多的集成工作场所,并且所有人都在家工作,它只意味着攻击表面对黑客分散。因此,他们也试图将他们的方式修复良好的互联网用户。除此之外,还有人们使用ZOOM举办举办派对,宗教活动,甚至英国内阁会议,呈指数级增长的用户数。

缩放毫无疑问是家庭旅中的工作的令人信服的选择。有许多优点。其中一些值得一提的是 - 它可以自由使用但是完成了事情,是功能包装的,它是最容易使用的东西之一。这是Zoom裁剪裁剪裁剪曾经需要进行视频会议的原因。暗示许多公司鉴于不确定的情况,在锁定踢出之前,许多公司将在其员工的笔记本电脑上配置缩放,以保持工作流程,以保持工作流程。缩放目前吸引了比微软团队更多的三倍。

飞涨如何在冠状病毒期间生长?

锁定后不久,将每个人都限制在居住区,新用户的涌入将ZOOM的市场上限推高达42亿美元。该平台于2019年12月增加了1000万[1千克],于2020年3月达到200万[20亿卢比]。下载页面的日常访问者目睹了3月份增长了535%。

但是,在安全和隐私问题陷入困境之后,看涨趋势无法维持,股价下降截至7截至7 TH. 4月2020年4月。纽约市教育部,美国宇航局,谷歌谷歌,谷歌等众多组织中,禁止放大。 FBI在收到教师平台时收到骚扰报告后警告使用。台湾成为第一个禁令缩放的国家,如果使用该平台,它将违反其在2019年的网络安全管理法规则。4月16日,内政部发布了咨询,经过证明 - 在标记的高风险威胁中,说明Zoom不是一个安全的平台,并奠定了指导指南,以确保用户安全。

缩放很糟糕吗?

是的。这是。不可否认,从未设计过Zoom以用于如此广泛的扩展使用。

“我们没有设计该产品的远见卓识,在几周内,世界上每个人都会突然在家中工作,学习和社交。 ...我们现在拥有一个更广泛的用户,这些用户在无数的意想不到的方式中利用我们的产品,向我们呈现我们没有预料的挑战。” - Eric Yuan,CEO,Zoom Videocommunications Inc.

大规模采用平台带来了更大的审查,众多缺陷来到前面。因此,事实证明,我们一直在使用Windows来防止入侵。 (无意的双关!) 该平台上有许多缺点已被安全研究人员认可。一些值得注意的是:

  • 假端到端加密–虽然缩放提供了启用E-2-e的选项,并提供一个绿色挂锁,该挂锁声称“缩放使用结束到结束加密连接”,但实际上它不会使用结束到结束加密。端到端是指在呼叫之间加密的数据,阻止第三方 - 包括服务提供商。因此,该公司可以看到并使用目标广告等内容的数据。
  • 放大爆炸–不邀请的与会者可以访问缩放会议,并可能骚扰参与者。
  • 零天漏洞–零日漏洞是任何软件中未被发现的漏洞。由于它们未被发现,因此无法防止其剥削。正在销售Windows和MacOS的两个零天漏洞,包括RCE(远程代码)漏洞[理想在工业间谍案例中部署]为全PC收购铺平了道路。黑客以500,000美元的价格营销这种特殊的漏洞。
  • 删除,但未删除–如果任何人单击了应用程序的记录功能,缩放和云存储提供程序不会默认保护视频。即使从缩放帐户中删除视频,也不会在消失之前未删除几个小时。可缩小部分是使用缩放自动分配给文件的文件名来搜索这些视频。
  • 销售个人数据–Zoom收集和共享广泛的用户数据,如视频,成绩单和个人利润的共享笔记。 3月29日,缩放收紧其隐私政策,以说明它不使用来自会议的数据进行任何广告。但是,当人们访问其营销网站时,它会使用数据,包括其主页zoom.us和zoom.com。
  • 使用Facebook共享数据–如zoom的iOS应用程序,如使用Facebook SDK的许多其他应用程序,也被发现即使用户没有链接Facebook帐户也会向Facebook发送分析数据。此功能最近被删除。
  • 与会者跟踪–放大镜头下面是其“与会者跟踪功能的镜头,即启用,当参与者在呼叫期间单击主缩放窗口时,可以检查主机检查。 4月2日,缩放永久删除该功能。同样,如果它在本地录制,则可以读取缩放会议的主机读取在呼叫期间发送的私人文本消息。
  • 恶意软件功能–缩放使用技术来安装其Mac应用程序,而无需用户交互,使用MacOS恶意软件使用的相同技巧,从而允许在没有提供最终内容的用户的情况下安装应用程序。
  • 数据挖掘–使用未公开的数据挖掘功能发现放大,当他们签名时
  • 电子邮件泄漏–一份报告显示,Zoom正在泄露数千个用户的电子邮件地址和照片,让陌生人尝试互相呼叫。
  • z视文–搜索打开缩放会议IDS每小时查找约100次由任何密码保护的会议。

但是,只是看着指控不足以评估您的安全需求。只有在FIASCO之前和之后也可以看出ZOOM的行为,这一点只是有理由。

飞涨如何处理这种情况?

通过踩到脚下。 该公司在光明后修复了许多问题,收紧了隐私规则,并加强了安全功能。它继续澄清公司仅收集用户数据以改善服务,并且永远允许其员工在会议中访问特定内容,并不会出售任何类型的用户数据。公司首席执行官自己承认“我们认识到我们已经缺乏社区和我们的自私和安全期望。”该公司主动解决了用户担忧和发布的更新。它还自我冻结了90天的功能冻结以专注于安全问题。

但是,该公司确认怀疑是通过非常奇怪的,难以消化,解释,这可能是使用欺骗性的技巧。

“W.母鸡我们在我们的其他文献中使用了“端到端”短语,它会引入从缩放端点加密到缩放端点的连接。“

那么平均Zoom用户这意味着什么?这意味着公司自由地建立了信任,以便使用最低专注于安全性和隐私的功能,同时将其安全性吹捧为最好的安全性。无论公司设计软件,如果它免费提供该软件,那么它不可用火箭科学,无法预测公众将使用它。有人知道有缺陷的安全惯例,平台将在第一个地方成为一个选择,更不用说 业务推动器 在电晕时代。

MHA警告使用缩放。你应该用它吗?

如果是免费的,你就是价格。没有什么是免费的。无论我们责备多少缩放,因为它的安全和隐私忽视,抵押俱乐部与我们停止。第一个原因是缩放需要作为公司生存。那么如果我们不付钱,它如何做到?它使用我们的数据通过广告(甚至销售数据)来生成收入,当我们使用其应用时它收集的数据。第二个原因是,我们曾担心安全和隐私吗?我们只采取反应措施,如果和何时发生了糟糕的事情。但安全就是积极主动。在我们被抢劫之后或在悲剧罢工之前,我们在我们的房子里放了一扇门吗?大多数问题都可以通过从应用程序本身收紧安全规则来解决。

尽管如此,由于申请最近在安全手表上市,因此可以在未来几天内出现更多的RCE和漏洞。它对您和您的会议合作伙伴构成了很大的威胁。那么你应该继续缩放吗?

这取决于。

它取决于您使用的目的,以及您需要的安全范围,您需要无故障操作。安全性是上下文。您不购买超安全的储物柜,在Lakhs耗资,用于确保几千卢比。同样,使用或不使用缩放取决于您的需求。如上所述,漏洞可能是某些人的交易破坏者,可能不是其他人。所以这里是一些已知漏洞的背景。

  • 假端到端加密–如果您正在使用缩放进行休闲会议,其中一个或一个与少数参与者一起,无需担心。但对于私人和敏感的会议,这是一个很大的不。
  • 放大爆炸–它与它可能听起来的安全威胁并不大。但想象一下有人进行在线课程或网络研讨会,并且未知用户从计算机开始分享色情内容。它会令人尴尬和尴尬。你的会议很可能会结束那里,以及你的声誉。
  • 零天漏洞–零天是最威胁的漏洞。它为黑客提供了创造性的机会。还记得wannacry吗?这是一个零天脆弱性。在这些攻击中,黑客不会针对特定的受害者。它们使用方法尽可能多地传播感染,攻击表面变得如此之大,总是有些人不愿意丢失所有数据,并最终支付要求的赎金。
  • 删除,但未删除–这是完全可怕的。虽然网络研讨会和讲座并不多,但对于企业来说,这是一个噩梦。但是,禁用该功能就足够了。
  • 销售和共享数据 - 缩放澄清说,它不会出售任何用户数据,并且不会让任何员工访问会议中的任何特定内容。但是,不会让员工访问会议中的内容,而没有与会议有关的数据是两个不同的东西。
  • 与会者跟踪–缩放已删除此功能,因此不需要担心它了。
  • 恶意软件功能–这是一个严重的脆弱性。由于应用程序已经升级了权限,攻击者可以使用该应用程序进行进一步的攻击。对于普通用户来说,它只是另一个您不关心的恶意软件。虽然它可以窃取凭据,信用卡信息,敏感的个人内容等。对于企业或高价值用户来说,您将冒着您存储的任何数据,您的业务或您的公司提供有关您的公司,而且免费软件的风险不值得冒险。所以很高兴远离放大。

过去的几个严重漏洞也困扰着变焦。被称为“窥探目光”,这是2019年10月发现的缺陷允许网络犯罪分子在Zoom和Cisco WebEx平台上运行的视频会议窥探。所以,说Zoom只是一个充满安全漏洞的合法软件并不是错误的。虽然公司对发现的安全漏洞的快速反应恢复了一些可信度,但先前使用的欺骗性策略,许多未公开的漏洞,以及奇怪的解释使变焦成为强硬的产品推荐。

如果您必须继续缩放,如何保护自己?

通过获取基础知识可以减轻许多安全问题。一些缓解策略是:

  • 更新:更新是对任何攻击的第一行防御。所以尽可能频繁地更新。
  • 使用“候诊室”选项':设置会议,以便参与者无法加入,直到你打开它。
  • 控制屏幕共享:默认情况下,任何使用缩放的参与者都可以共享其视频,屏幕和音频。将屏幕共享功能限制到主机将停止任何缩放轰炸。
  • 使用随机会议ID 并设置会议密码: 黑客销售着名的会议ID,以前被盗的和新泄露的人,攻击者可以使用它们。因此,使用随机会议ID和设置密码。
  • 不要使用相同的手段发送weblink 密码:使用一种方法来发送Web链接(电子邮件)和其他人发送密码(例如,在会议开始之前短信)
  • 锁定设置: 无论您的要求设置您的要求,否则锁定设置,否则,用户可以在其个人设置中禁用该设置。
  • 选择适当的密码: 新用户正在使用已在其他地方破解的密码。一份报告,名称声称已从俄语发言的黑客收购53,000个账户和密码,每位帐户0.002美元。
  • 禁用文件传输
  • 从设置和控制中,确保删除参与者无法重新加入会议
  • 限制/禁用呼叫记录功能
甚至更好。只需使用其他一些具有更好的安全性的平台!

特别感谢 adv。 Bhagyashree Swami为她至关重要的投入这篇文章!

本文最初在MyLawrd.com发布,可以访问 这里.

参考:

  1. Cert-in咨询CIAS-2020-0010,'安全使用ZOOM Video Conferencing应用程序'。 //www.cert-in.org.in/s2cMainServlet?pageid=PUBVLNOTES02&VLCODE=CIAD-2020-0010
  2. Cert-in咨询CIAD-2020-0011,'缩放视频'会议应用中的多种漏洞。 //www.cert-in.org.in/s2cMainServlet?pageid=PUBVLNOTES02&VLCODE=CIAD-2020-0011
  3. '在会议上管理参与者'。 //support.zoom.us/hc/en-us/articles/115005759423
  4. IT Pro,FBI警告'缩放轰炸'黑客在Coronavirus使用穗, //www.itpro.co.uk/security/cyber-crime/355171/fbi-warns-of-zoom-bombing-hackers-amidst-coronavirus-usage-spike
  5. 黑客新闻,“Zoom陷入了网络安全辩论”。 //thehackernews.com/2020/04/zoom-cybersecurity-hacking.html
  6. 它,'zoom承认会议唐’t使用端到端加密 - 它pro'。 //www.itpro.co.uk/software/video-conferencing/355180/zoom-does-not-use-end-to-end-encrypted
  7. CNET,'即使在删除它们后,您的缩放视频也可以在云中居住。 //www.cnet.com/news/your-zoom-videos-could-live-on-in-the-cloud-even-after-you-delete-them/
  8. IT Pro,'黑客宣传严重缩放Windows错误,以便$ 500,000'。 //www.itpro.co.uk/security/vulnerability/355339/hackers-marketing-critical-zoom-windows-client-bug-for-500000
  9. CNN Business,'Zoom CEO为此道歉‘fallen short’关于隐私和安全性'。 //edition.cnn.com/2020/04/02/tech/zoom-ceo-apology-privacy/index.html]
  10. 打印'MHA说,Zoom应用程序不安全,问题对于那些仍然想要使用它的人来说。 //theprint.in/india/mha-says-zoom-app-not-safe-issues-guidelines-for-those-who-still-want-to-use-it/403051/]
  11. 它,'zoom承认会议唐’t使用端到端加密'。 //www.itpro.co.uk/software/video-conferencing/355180/zoom-does-not-use-end-to-end-encrypted
  12. 它,'缩放轰炸“发送ZOOM股票暴跌', //www.itpro.co.uk/marketing-comms/communications/355252/zoom-bombing-sends-zoom-stuck-plummeting
  13. IT Pro,“台湾成为禁止Zoom的第一个国家。 //www.itpro.co.uk/software/video-conferencing/355257/taiwan-first-country-to-ban-zoom-amid-security-concerns?_mout=1&utm_campaign=i
  14. 黑暗读数,'vandacry在all-time high'检测'。 //www.darkreading.com/endpoint/wannacry-detections-at-an-all-time-high/d/d-id/1335848

Tags

相关文章

发表评论

关闭