We use cookies to ensure that we give you the best experience on our website.

缩放安全使用吗?

飞涨是一个视频会议应用程序,在自我隔离期间的流行程度大大增加。由于普及率的提高,Zoom受到了更加仔细的审查 - 导致更多有关不安全感,隐私问题甚至由Zoom引起的黑客事件的潜力的报道。

在本文中,我们将研究围绕Zoom的隐私和安全问题。我们还以易于理解的方式解释了什么实际上是为了确保使用其平台时保持安全。

缩放安全吗?

Zoom处于恒定的开发中。它的应用程序定期更新安全补丁和每个月更新。这很好,表明该公司正在积极尝试挑选并处理其平台上的安全漏洞。

在Mozilla最近发表的一份报告中,发现Zoom实际上符合该公司的最低安全标准,从而使视频会议应用程序在五个类别中成为了清洁的健康账单:

  1. 运输层安全加密。
  2. 安全更新。
  3. 脆弱性管理(它具有赏金计划)。
  4. 密码安全。
  5. 隐私政策(Zoom声称不将用户收集的任何数据用于广告目的)。

尽管Zoom一直在寻找和补丁缺陷,但仍在定期发现新的漏洞。

该公司还承认,从主要由具有良好安全性实践的企业使用的平台到针对单个互联网用户的面向消费者的平台,它存在一些磨牙问题。但是,它似乎一直在改善,这通常是一个很好的迹象。

那么,这全是什么意思?除非您使用Zoom来讨论国家安全,国家安全,公司或商业秘密问题,例如知识产权或敏感的个人和医疗患者信息 - 飞涨应该是安全使用。

如果您仍然担心变焦的安全问题,请查看我们最好的视频会议应用程序页面以获取出色替代方案的列表。

Zoom被黑客入侵了吗?

Zoom最近几个月一直是黑客的目标。以下是一些先前发现的安全问题的列表,这些问题影响了变焦。此后,大多数问题都已修补。但是,人们认为某些零日仍然可行。因此,从理论上讲,变焦仍然可能导致人们被黑客入侵:

  • 研究人员发现了一个利用,其中攻击者可以从会议,其他用户的欺骗消息和劫持屏幕中删除与会者。
  • 一位安全研究人员发现,Zoom的抗侵入机制并不像应有的能力那样胜任,这使黑客有能力创建该应用程序的受感染版本。
  • 趋势Micro的安全研究人员发现了一个版本的变焦安装程序循环,其中包含用于开采加密货币的恶意软件。
  • 一位安全研究人员以前透露,任何人都可以在线找到缩放会议的记录。根据研究人员的说法,录音的URL结构是可预测的,易于找到的,使这些录音处于危险之中。此后,该缺陷已通过密码保护进行录音。但是,它们仍然可以发现。
  • 以前有报道称,黑客在黑暗网络上出售了两个零日的利用。消息人士称,该漏洞利用将使黑客可以使用Zoom对受害者的Windows计算机进行完全控制。 (可能仍然可行。)
  • 来自Insights的安全研究人员发现了一组在在线黑客论坛中共享的2300个缩放登录凭据。研究人员不认为数据来自变焦漏洞,而是由于证书填充攻击。
  • 一个变焦的网络钓鱼骗局流传,其中似乎要求员工参加老板的Zoom会议。电子邮件中的链接将用户转发到伪造的缩放登录门户,该门户将其保留其凭据。
  • Zoom意外地将其作为同一公司的一部分后,意外泄露了数千名用户的电子邮件地址。据报道,变焦处理这些用户的个人电子邮件地址如何使他们互相启动视频通话。
  • 发现变焦是将有关缩放用户的数据传递到Facebook,即使这些用户没有Zoom帐户。

缩放对Mac用户安全吗?

在2019年夏天,揭示了Zoom在Mac计算机上安装了一个隐藏的Web服务器 - 迫使Apple介入并使用安全更新的数百万MACOS设备保护。

根据发现漏洞的研究人员的说法,未经用户许可,可能会通过恶意网站利用Web服务器来激活Mac的网络摄像头。此后,该漏洞已由Apple解决。

安全研究人员还以前还发现了MACOS的变焦功能,使黑客可以将恶意代码注入Zoom的安装程序(有关Zoom的安装程序(因为还发现Zoom可以自动安装,而无需MACOS用户同意)。此外,还发现了一个单独的漏洞利用,该漏洞将使黑客劫持受害者的设备,以控制网络摄像头和麦克风。

好消息是,这些缺陷现在都已修补。此外,Zoom已更新了MACOS安装程序,因此它不再像恶意软件那样行事。那么MacOS Zoom用户安全吗?

将来可能会发现新的漏洞。结果,这个问题的答案在很大程度上取决于您的个人威胁模型。话虽如此,您应该可以使用Zoom进行非敏感的视频会议。

另一方面,一些安全研究人员仍然认为Zoom是有关Zoom的关注,并警告不要使用该软件。因此,如果您真的关心隐私和安全性,那么必须与A一起使用Zoom顶级防病毒软件程序,强大的防火墙,甚至VPN用于添加加密。

Zoom还在做什么以确保其安全?

Zoom已承诺将全力以赴,以确保在进行其他其他功能的进一步开发之前对任何新发现的漏洞进行修补。这是可喜的新闻,在大多数情况下,Zoom似乎是一家努力工作以尽快修复漏洞的公司。

但是,一些安全研究人员对Zoom对赏金计划的使用来使研究人员保持沉默。至少有一位安全研究人员拒绝签署Zoom的不披露协议(这意味着他们没有资格获得奖励),以便能够披露对新闻界的安全脆弱性的详细信息。

还值得一提的是,在2018年,Dropbox的员工变得如此关注与变焦相关的漏洞,以至于他们启动了自己的赏金虫奖励计划,鼓励研究人员提出发现的任何变焦漏洞。

Zoom仍然可以入侵吗?

影响缩放的安全漏洞列表非常长。这是令人担忧的,可能足以使某些人离开平台。

尽管Zoom一旦知道了,但尚不清楚目前在野外被网络犯罪分子在野外利用多少已知的零日。网络犯罪分子始终可能会发现新的零日漏洞,这意味着将来的某个时候仍然可以将Zoom入侵。

什么是变焦炸弹以及如何避免

Zoombombing是门撞到某人的Zoom会议的行为。放大炸弹可以导致数据盗窃和窥探,共享不适当的内容,黑客发布的危险链接,甚至仇恨犯罪。

大多数Zoomboming发生的事件是由于不安全的用户习惯而发生的。具体而言,公众共享了会议的URL。当人们在网上公开共享一个变焦会议URL时,URL可能会传播给不需要的人,这可能导致炸弹炸弹事件。

避免放大炸弹的最佳方法是始终分享私下会议的URL。此外,所有被邀请参加Zoom会议的人都应该意识到,公开分享URL是不可能的。这应该确保会议受到防止不必要的入侵者的保护。

通过:

  • 在会议上输入密码。
  • 私下共享URL。
  • 在开始会议之前检查参与者,踢任何不属于的人。

不幸的是,安全研究人员已经证明,网络犯罪分子有可能使用计算机软件迅速通过潜在的变焦相遇的URL循环。通过这样做,Zoombombers实际上可能会偶然发现您的会议ID参加会议。因此,最好在进行任何对话之前检查会议的所有成员。

幸运的是,Zoom现在为其服务添加了安全功能,使会议的主持人可以踢出任何不需要的会议与会者。结果,如果某人在会议上造成麻烦或无邀请加入,则主机可以引导该用户。

Zoom实施端到端加密吗?

尽管该平台先前提出了索赔,但Zoom并未为视频会议呼叫提供端到端的注册(E2EE)。 Zoom提供的加密可确保所有视频数据在运输中都具有安全性,这要归功于其使用TLS(与确保HTTPS网站相同的加密)。

该加密阻止了窃听者能够在运输中拦截您的视频和音频数据。但是,用户数据仍然必须通过Zoom的服务器,并且由于该数据不使用E2EE确保,因此有可能访问,存储或可能由公司及其与之合作的任何第三方访问,存储或可能分析这些对话(如果为授权书服务)。

这一事实引起了一些担忧,因为发现Zoom默认情况下通过中国服务器路由了一些视频通话。中国是政府拥有对企业拥有巨大权力的国家,许多人认为,中国政府很容易收获中国服务器上的任何数据。

这导致英国政府在担心监视方面禁止Zoom进行官方国家业务。英国国家网络安全中心表示,Zoom仅应用于公共业务。

Zoom的首席执行官Eric Yuan声称,这些对话仅是偶然到达中国的,并且在4月初发布的博客文章声称Zoom已采取措施确保不再发生这种情况。您是否相信公司是否可以停止通过中国服务器进行路由呼叫,这取决于您。由于Zoom是一个封闭的源平台,因此很难以一种或另一种方式验证这些索赔。

归根结底,除非您使用Zoom讨论影响国家安全或其他高度敏感的问题,否则您应该可以使用Zoom。

更新04/06/20:关于Zoom端到端加密索赔差异的投诉使该公司改变了立场,并承诺付费成员的端到端加密。免费成员将不包括在此中,但是必须与标准的服务器端加密一起进行。

[[post-object type =“ blockquote”作者=“ Zoom”首席执行官Eric Yuan]]自由用户可以肯定,我们不想给[端到端加密],因为我们也想与FBI一起工作,如果有人将Zoom使用Zoom,则可以与本地执法一起工作。

Zoom首席执行官Eric Yuan表示,其意图是与执法部门合作,但是在包括您的隐私倡导者真正地发表了有关这种影响的意义之后,该公司已支持该公司在极端案件中声称它仅泄露信息。

除了在诸如儿童性虐待之类的情况下,我们不与执法部门共享信息。我们没有后门,任何人都可以参加会议而不对他人可见。这些都不会改变。

变焦对您的隐私有害吗?

除了上面提出的问题外,值得一提的是,Zoom具有有关用户隐私的一些功能。注意力跟踪功能允许会议的主持人能够关注用户是否单击会议呼叫的标签。这被谴责为对隐私的侵犯,允许雇主不公平地跟踪工人。

Zoom也受到隐私倡导组织的抨击。这些组织指出,与Google和Amazon这样的公司不同,Zoom并未发布有关其从政府机构收到的数据请求数量的透明度报告。隐私拥护者认为,这为平台上发生的监视水平造成了保密的裹尸布。

但是,Zoom最近更新了其隐私政策。以前,该政策允许Zoom收集有关会议的信息 - 包括视频,成绩单和共享笔记。据信这些数据被利用是为了营销目的。

尽管其策略有所改进,现在清楚地表明,Zoom不会将用户数据出售给第三方,但Zoom仍然从用户那里收集数据:

  • IP地址
  • 电话号码
  • 操作系统详细信息
  • 设备级标识符(“ MAC地址,其他设备ID(UDID),设备类型,操作系统类型和版本,客户端版本,相机类型,麦克风或扬声器,连接类型等。”)

大多数隐私拥护者认为这是侵入性的,该公司承认,它将使用位置跟踪来确定您使用其服务时的大约位置。

关于每个呼叫的Zoom还收集了很多元数据。这包括诸如用户的电子邮件地址,姓名(或用户输入以识别自己的其他信息),会议的名称,会议的日期和时间的信息,安排了会议的日期和时间,聊天状态并调用Zoom Phone的数据记录。

还值得注意的是,Zoom承认它将尝试从“数据丰富服务”,“邮件列表”和“公共资源”中获取有关每个用户的更多数据。因此,可以说Zoom正在积极参与尝试创建有关其用户的数据库,目的是“根据您的兴趣提供量身定制的信息”。

这似乎是在面对较早的索赔的政策中飞行的,即用户数据将不会用于广告目的。


缩放替代品

一般来说,大多数人都应该使用变焦。但是,如果您不确定平台;坚持使用强大的端到端加密的安全开源替代方案。

在这里,我们已经仔细研究了最佳选择。要了解有关每个选项的更多信息,请查看我们最好的视频会议应用程序指南。如果您匆忙,我们通常建议以下选项:

  • Jitsi见面
  • 金属丝
  • 贾米
  • NextCloud谈话
  • Bigbluebutton

提到的每个选项都具有利弊,因此请务必访问我们的深入指南,以了解您需要了解的有关这些服务的所有信息。而且,如果您有任何疑问,请随时向我们发送一条消息!

Related articles