We use cookies to ensure that we give you the best experience on our website.

縮放安全使用嗎?

飛漲是一個視頻會議應用程序,在自我隔離期間的流行程度大大增加。由於普及率的提高,Zoom受到了更加仔細的審查 - 導致更多有關不安全感,隱私問題甚至由Zoom引起的黑客事件的潛力的報導。

在本文中,我們將研究圍繞Zoom的隱私和安全問題。我們還以易於理解的方式解釋了什麼實際上是為了確保使用其平台時保持安全。

縮放安全嗎?

Zoom處於恆定的開發中。它的應用程序定期更新安全補丁和每個月更新。這很好,表明該公司正在積極嘗試挑選並處理其平台上的安全漏洞。

在Mozilla最近發表的一份報告中,發現Zoom實際上符合該公司的最低安全標準,從而使視頻會議應用程序在五個類別中成為了清潔的健康賬單:

  1. 運輸層安全加密。
  2. 安全更新。
  3. 脆弱性管理(它具有賞金計劃)。
  4. 密碼安全。
  5. 隱私政策(Zoom聲稱不將用戶收集的任何數據用於廣告目的)。

儘管Zoom一直在尋找和補丁缺陷,但仍在定期發現新的漏洞。

該公司還承認,從主要由具有良好安全性實踐的企業使用的平台到針對單個互聯網用戶的面向消費者的平台,它存在一些磨牙問題。但是,它似乎一直在改善,這通常是一個很好的跡象。

那麼,這全是什麼意思?除非您使用Zoom來討論國家安全,國家安全,公司或商業秘密問題,例如知識產權或敏感的個人和醫療患者信息 - 飛漲應該是安全使用。

如果您仍然擔心變焦的安全問題,請查看我們最好的視頻會議應用程序頁面以獲取出色替代方案的列表。

Zoom被黑客入侵了嗎?

Zoom最近幾個月一直是黑客的目標。以下是一些先前發現的安全問題的列表,這些問題影響了變焦。此後,大多數問題都已修補。但是,人們認為某些零日仍然可行。因此,從理論上講,變焦仍然可能導致人們被黑客入侵:

  • 研究人員發現了一個利用,其中攻擊者可以從會議,其他用戶的欺騙消息和劫持屏幕中刪除與會者。
  • 一位安全研究人員發現,Zoom的抗侵入機制並不像應有的能力那樣勝任,這使黑客有能力創建該應用程序的受感染版本。
  • 趨勢Micro的安全研究人員發現了一個版本的變焦安裝程序循環,其中包含用於開採加密貨幣的惡意軟件。
  • 一位安全研究人員以前透露,任何人都可以在線找到縮放會議的記錄。根據研究人員的說法,錄音的URL結構是可預測的,易於找到的,使這些錄音處於危險之中。此後,該缺陷已通過密碼保護進行錄音。但是,它們仍然可以發現。
  • 以前有報導稱,黑客在黑暗網絡上出售了兩個零日的利用。消息人士稱,該漏洞利用將使黑客可以使用Zoom對受害者的Windows計算機進行完全控制。 (可能仍然可行。)
  • 來自Insights的安全研究人員發現了一組在在線黑客論壇中共享的2300個縮放登錄憑據。研究人員不認為數據來自變焦漏洞,而是由於證書填充攻擊。
  • 一個變焦的網絡釣魚騙局流傳,其中似乎要求員工參加老闆的Zoom會議。電子郵件中的鏈接將用戶轉發到偽造的縮放登錄門戶,該門戶將其保留其憑據。
  • Zoom意外地將其作為同一公司的一部分後,意外洩露了數千名用戶的電子郵件地址。據報導,變焦處理這些用戶的個人電子郵件地址如何使他們互相啟動視頻通話。
  • 發現變焦是將有關縮放用戶的數據傳遞到Facebook,即使這些用戶沒有Zoom帳戶。

縮放對Mac用戶安全嗎?

在2019年夏天,揭示了Zoom在Mac計算機上安裝了一個隱藏的Web服務器 - 迫使Apple介入並使用安全更新的數百萬MACOS設備保護。

根據發現漏洞的研究人員的說法,未經用戶許可,可能會通過惡意網站利用Web服務器來激活Mac的網絡攝像頭。此後,該漏洞已由Apple解決。

安全研究人員還以前還發現了MACOS的變焦功能,使黑客可以將惡意代碼注入Zoom的安裝程序(有關Zoom的安裝程序(因為還發現Zoom可以自動安裝,而無需MACOS用戶同意)。此外,還發現了一個單獨的漏洞利用,該漏洞將使黑客劫持受害者的設備,以控製網絡攝像頭和麥克風。

好消息是,這些缺陷現在都已修補。此外,Zoom已更新了MACOS安裝程序,因此它不再像惡意軟件那樣行事。那麼MacOS Zoom用戶安全嗎?

將來可能會發現新的漏洞。結果,這個問題的答案在很大程度上取決於您的個人威脅模型。話雖如此,您應該可以使用Zoom進行非敏感的視頻會議。

另一方面,一些安全研究人員仍然認為Zoom是有關Zoom的關注,並警告不要使用該軟件。因此,如果您真的關心隱私和安全性,那麼必須與A一起使用Zoom頂級防病毒軟件程序,強大的防火牆,甚至VPN用於添加加密。

Zoom還在做什麼以確保其安全?

Zoom已承諾將全力以赴,以確保在進行其他其他功能的進一步開發之前對任何新發現的漏洞進行修補。這是可喜的新聞,在大多數情況下,Zoom似乎是一家努力工作以盡快修復漏洞的公司。

但是,一些安全研究人員對Zoom對賞金計劃的使用來使研究人員保持沉默。至少有一位安全研究人員拒絕簽署Zoom的不披露協議(這意味著他們沒有資格獲得獎勵),以便能夠披露對新聞界的安全脆弱性的詳細信息。

還值得一提的是,在2018年,Dropbox的員工變得如此關注與變焦相關的漏洞,以至於他們啟動了自己的賞金蟲獎勵計劃,鼓勵研究人員提出發現的任何變焦漏洞。

Zoom仍然可以入侵嗎?

影響縮放的安全漏洞列表非常長。這是令人擔憂的,可能足以使某些人離開平台。

儘管Zoom一旦知道了,但尚不清楚目前在野外被網絡犯罪分子在野外利用多少已知的零日。網絡犯罪分子始終可能會發現新的零日漏洞,這意味著將來的某個時候仍然可以將Zoom入侵。

什麼是變焦炸彈以及如何避免

Zoombombing是門撞到某人的Zoom會議的行為。放大炸彈可以導致數據盜竊和窺探,共享不適當的內容,黑客發布的危險鏈接,甚至仇恨犯罪。

大多數Zoomboming發生的事件是由於不安全的用戶習慣而發生的。具體而言,公眾共享了會議的URL。當人們在網上公開共享一個變焦會議URL時,URL可能會傳播給不需要的人,這可能導致炸彈炸彈事件。

避免放大炸彈的最佳方法是始終分享私下會議的URL。此外,所有被邀請參加Zoom會議的人都應該意識到,公開分享URL是不可能的。這應該確保會議受到防止不必要的入侵者的保護。

通過:

  • 在會議上輸入密碼。
  • 私下共享URL。
  • 在開始會議之前檢查參與者,踢任何不屬於的人。

不幸的是,安全研究人員已經證明,網絡犯罪分子有可能使用計算機軟件迅速通過潛在的變焦相遇的URL循環。通過這樣做,Zoombombers實際上可能會偶然發現您的會議ID參加會議。因此,最好在進行任何對話之前檢查會議的所有成員。

幸運的是,Zoom現在為其服務添加了安全功能,使會議的主持人可以踢出任何不需要的會議與會者。結果,如果某人在會議上造成麻煩或無邀請加入,則主機可以引導該用戶。

Zoom實施端到端加密嗎?

儘管該平台先前提出了索賠,但Zoom並未為視頻會議呼叫提供端到端的註冊(E2EE)。 Zoom提供的加密可確保所有視頻數據在運輸中都具有安全性,這要歸功於其使用TLS(與確保HTTPS網站相同的加密)。

該加密阻止了竊聽者能夠在運輸中攔截您的視頻和音頻數據。但是,用戶數據仍然必須通過Zoom的服務器,並且由於該數據不使用E2EE確保,因此有可能訪問,存儲或可能由公司及其與之合作的任何第三方訪問,存儲或可能分析這些對話(如果為授權書服務)。

這一事實引起了一些擔憂,因為發現Zoom默認情況下通過中國服務器路由了一些視頻通話。中國是政府擁有對企業擁有巨大權力的國家,許多人認為,中國政府很容易收穫中國服務器上的任何數據。

這導致英國政府在擔心監視方面禁止Zoom進行官方國家業務。英國國家網絡安全中心表示,Zoom僅應用於公共業務。

Zoom的首席執行官Eric Yuan聲稱,這些對話僅是偶然到達中國的,並且在4月初發布的博客文章聲稱Zoom已採取措施確保不再發生這種情況。您是否相信公司是否可以停止通過中國服務器進行路由呼叫,這取決於您。由於Zoom是一個封閉的源平台,因此很難以一種或另一種方式驗證這些索賠。

歸根結底,除非您使用Zoom討論影響國家安全或其他高度敏感的問題,否則您應該可以使用Zoom。

更新04/06/20:關於Zoom端到端加密索賠差異的投訴使該公司改變了立場,並承諾付費成員的端到端加密。免費成員將不包括在此中,但是必須與標準的服務器端加密一起進行。

[[post-object type =“ blockquote”作者=“ Zoom”首席執行官Eric Yuan]]自由用戶可以肯定,我們不想給[端到端加密],因為我們也想與FBI一起工作,如果有人將Zoom使用Zoom,則可以與本地執法一起工作。

Zoom首席執行官Eric Yuan表示,其意圖是與執法部門合作,但是在包括您的隱私倡導者真正地發表了有關這種影響的意義之後,該公司已支持該公司在極端案件中聲稱它僅洩露信息。

除了在諸如兒童性虐待之類的情況下,我們不與執法部門共享信息。我們沒有後門,任何人都可以參加會議而不對他人可見。這些都不會改變。

變焦對您的隱私有害嗎?

除了上面提出的問題外,值得一提的是,Zoom具有有關用戶隱私的一些功能。注意力跟踪功能允許會議的主持人能夠關注用戶是否單擊會議呼叫的標籤。這被譴責為對隱私的侵犯,允許雇主不公平地跟踪工人。

Zoom也受到隱私倡導組織的抨擊。這些組織指出,與Google和Amazon這樣的公司不同,Zoom並未發布有關其從政府機構收到的數據請求數量的透明度報告。隱私擁護者認為,這為平台上發生的監視水平造成了保密的裹屍布。

但是,Zoom最近更新了其隱私政策。以前,該政策允許Zoom收集有關會議的信息 - 包括視頻,成績單和共享筆記。據信這些數據被利用是為了營銷目的。

儘管其策略有所改進,現在清楚地表明,Zoom不會將用戶數據出售給第三方,但Zoom仍然從用戶那裡收集數據:

  • IP地址
  • 電話號碼
  • 操作系統詳細信息
  • 設備級標識符(“ MAC地址,其他設備ID(UDID),設備類型,操作系統類型和版本,客戶端版本,相機類型,麥克風或揚聲器,連接類型等。”)

大多數隱私擁護者認為這是侵入性的,該公司承認,它將使用位置跟踪來確定您使用其服務時的大約位置。

關於每個呼叫的Zoom還收集了很多元數據。這包括諸如用戶的電子郵件地址,姓名(或用戶輸入以識別自己的其他信息),會議的名稱,會議的日期和時間的信息,安排了會議的日期和時間,聊天狀態並調用Zoom Phone的數據記錄。

還值得注意的是,Zoom承認它將嘗試從“數據豐富服務”,“郵件列表”和“公共資源”中獲取有關每個用戶的更多數據。因此,可以說Zoom正在積極參與嘗試創建有關其用戶的數據庫,目的是“根據您的興趣提供量身定制的信息”。

這似乎是在面對較早的索賠的政策中飛行的,即用戶數據將不會用於廣告目的。


縮放替代品

一般來說,大多數人都應該使用變焦。但是,如果您不確定平台;堅持使用強大的端到端加密的安全開源替代方案。

在這裡,我們已經仔細研究了最佳選擇。要了解有關每個選項的更多信息,請查看我們最好的視頻會議應用程序指南。如果您匆忙,我們通常建議以下選項:

  • Jitsi見面
  • 金屬絲
  • 賈米
  • NextCloud談話
  • Bigbluebutton

提到的每個選項都具有利弊,因此請務必訪問我們的深入指南,以了解您需要了解的有關這些服務的所有信息。而且,如果您有任何疑問,請隨時向我們發送一條消息!

Related articles