4 月 2 日,Zoom 创始人兼 CEO 袁征宣布:在接下来的 90 天内将停止 Zoom 的功能更新,转向安全维护和 BUG 修复。据悉,Zoom 会投入资源去识别、定位和解决问题,甚至会邀请第三方参与对软件进行“全面审查”。
据袁征介绍,目前 Zoom 的日活用户数达到了 2 亿,这是构建平台之初没有预计到的规模,因此也带来了没有估量到的安全和隐私问题。
的确,因为新冠肺炎疫情的全球蔓延,使得多个国家和地区的人民不得不选择在家办公或学习,Zoom 也因此得到了巨大的流量和新增用户,根据 Apptopia 的数据,Zoom 的 3 月份活跃用户较去年同期增长了 151%。
Zoom 本该正是处于“高光时刻”,但现在却深陷“安全与隐私”的泥沼。仅仅一周的时间,Zoom 就先后被曝出向 Facebook 发送用户数据、泄露 Windows 登录凭证、未经用户同意通过预加载方式下载应用程序、未按宣传所言采用端到端的加密方式等安全问题,也正是因为这些问题,NASA 和 SpaceX 宣布禁止使用 Zoom。
用户毫不知情,Zoom 就把数据共享给了 Facebook
Motherboard 网站发现,Zoom iOS 应用正在通过“使用 Facebook 登录”功能将数据发送到 Facebook,发送的数据包括手机型号、打开程序的时间、所在时区和城市、使用的电信运营商,甚至还包括了可用于广告定位的标识符。
据悉,Zoom 使用 Facebook SDK 实现的“Facebook 登录”功能,主要是为了给用户提供访问平台的便利方法。但是在调查中发现,即使你不是 Facebook 用户,也会被收集信息。
整个数据共享的过程是这样的:用户下载打开 App 后,Zoom 就会连接到 Facebook 的 Graph API。而这个 Graph API 就是开发者与脸书交流数据的主要方式。
Zoom 表示:“Facebook SDK 功能确实在从用户收集数据,但是收集的数据不包括个人用户信息,而是包含用户设备的数据。”
随后,Zoom 更新了 iOS 应用程序的版本,并改进了 Facebook 登录功能。删除了 Facebook SDK,重置该功能,用户仍然可以通过浏览器使用 Facebook 账户登录 Zoom,但是需要更新到最新版本,该功能才会生效。
Zoom 客户端泄漏 Windows 登录凭证
根据外媒报道,Zoom Windows 客户端很容易受到 NUC 路径注入的攻击,攻击者可能会利用此路径窃取单击链接的用户 Windows 凭证。
据了解,使用 Zoom 发送聊天消息时,发送的所有 URL 都会经过转换,方便其它聊天者点击,并在默认浏览器中打开。安全研究员 @ _g0dmode 发现,Zoom 客户端竟然将 Windows 网络的 UNC 路径也换成了这种可单击的链接。
常规 URL 和 UNC 路径(\evil.server.com\images\cat.jpg)都被转换为可单击的链接
当用户单击 UNC 路径链接时,Windows 会尝试使用 SMB 文件共享协议连接到远程站点,打开远程路径中的 cat.jpg 文件。在默认情况下,Windows 将发送用户的登录名和 NTLM 密码哈希值,在这个阶段,如果是个有经验的攻击者,就可以借助 Hashcat 等免费工具来逆向运算。
安全研究人员 Matthew Hickey 对此进行了实测,并证实不但能在 Zoom 中顺利注入,而且可以借助民用级 GPU 和 CPU 来快速破解。除了能窃取到 Windows 登录凭证,UNC 注入还可以启动本地计算机上的程序,例如 CMD 命令提示符。
16 秒暴力破解简单密码
不过,幸运的是 Windows 会在程序被执行前发出是否允许其运行的提示。但想要真正解决这个问题,Zoom 必须屏蔽部分可单击的链接,停止 Windows 客户端的 UNC 路径转换功能。
APP “自动”安装?Zoom 预安装脚本引争议
3 月 31 日,Twitter 用户 Felix 发文称:“Zoom macOS 安装程序在用户没有同意的情况下,会自动安装,并且还会使用具有高度误导性的标题来获取用户权限,这与 macOS 恶意软件的‘套路’如出一辙。”
据了解,Zoom 会使用预安装脚本,使用捆绑的 7zip 手动解压缩应用程序,如果当前用户在 admin 组中 (不需要 root),则将其安装到 / Applications。随后,Zoom 做出回应,表示采用这种做法的目的是为了减少安装过程的复杂性,因为在 Mac 上安装 Zoom 并不容易,并认同了 Felix 的观点,未来会继续改进。
Felix 对这个解释并不认可,他认为提高可用性不应该牺牲安全性,Zoom 作为被广泛使用的应用程序,这一做法虽然没有恶意,但却极为不妥。
Felix 详细描述了 Zoom macOS 预安装脚本是如何工作的?
首先,Zoom 会使用 pkg 文件(一种安装程序格式,类似于 Windows 的 MSI)在 macOS 上分发客户端,在用户加入 Zoom 的某个会议时,系统会提示用户下载并允许软件。通常情况下,用户是可以在该步骤中进行自定义和确认安装的操作。但是,Zoom 的安装程序则跳过了这些步骤,要求允许“pre-requirement”脚本运行,该脚本通常是在正式安装之前运行,用来检测软件是否与计算机兼容。
需要注意的是,虽然“pre-requirement”脚本在运行之前会提示用户,但提示信息却是“will determine if the software can be installed”,一般来说,用户会点击 Continue,但你不知道这时 Zoom 已经开始安装了。Zoom 安装程序,不仅会执行预安装检查,还会作为脚本的一部分执行整个安装。更骚的操作是,安装程序还附带了一个捆绑版本的 7zip,可以解压缩。
如果用户是 admin,那么脚本会将提取到的客户端直接复制到 /Applications 目录中,并进行一些清理工作,就完成安装;如果用户没有权限写入 /Applications,且尚未安装 Zoom 客户端,那么,将会被复制到本地应用程序目录 /Users//Applications;如果用户已经在 /Applications 中安装 Zoom,但没有权限更新,那么该脚本会启动“ zoomAutenticationTool”辅助工具(同样被打包在 pkg 文件中),该工具使用已废弃的 AuthorizationExecuteWithPrivileges() 系统 API 来显示密码提示,以便运行具有 root 权限的“runwithroot”脚本。
所谓的端到端加密是“谎言”?
全球疫情的发展,使得很多企业不得不选择远程办公的方式,这时远程办公和协作工具的加密问题就显得尤为重要。
近日,有外媒报道 Zoom 在安全白皮书中提到了其支持端到端加密,但实际并没有为所有视频会议提供此类加密方式,存在误导用户的嫌疑。
随后,Zoom 发言人表示目前不可能为视频会议提供端到端加密。但否认了“误导用户”的说法,并称白皮书中的“端到端”指的是 Zoom 到 Zoom 之间的连接。
据了解,Zoom 目前使用的是 TLS 加密,即 Zoom 服务器到用户个人之间的传输是处于加密状态的。而端到端加密是指在设备之间对所有通信进行加密,从而使托管服务的组织也无法访问聊天的内容。如果是 TLS 加密,Zoom 可以拦截解密视频、聊天和其他数据。
值得注意的是,英国首相鲍里斯·约翰逊(Boris Johnson)周二在 Twitter 上分享了“the first ever digital Cabinet”的屏幕截图,图片显示多位官员在使用 Zoom 进行视频会议。这也引发了大家对于 Zoom 安全性的讨论。
安全问题频出,NASA 与 SpaceX 宣布禁用 Zoom
3 月 28 日,SpaceX 给员工发布了一封电子邮件,要求员工停止使用 Zoom,“我们知道有很多员工在使用 Zoom 进行视频会议,现在请你们使用电子邮件、短信以及电话来代替 Zoom。”
据了解,SpaceX 禁用 Zoom 的原因是其存在着“严重的隐私和安全性问题”。美国了联邦调查局(FBI)在本周一也发布了一则关于 Zoom 的警告,提醒用户不要在该网站上进行公开会议或广泛分享链接。
值得关注的是,除了 SpaceX,该公司最大的客户之一美国国家航空航天局(NASA)也宣布禁止员工使用 Zoom。
被盯上了?伪装成 Zoom 的钓鱼网站分发恶意软件
“人怕出名猪怕壮”,“流量担当”的 Zoom 不止自己问题频出,还被某些有心人士“盯上”了。近日,有网络犯罪分子通过注册虚假的“Zoom”域名和恶意的“Zoom”可执行文件来诱导用户下载恶意软件。
根据 Check Point Research 最新发布的一项报告,自新冠病毒流行以来,已经注册了 1700 多个新的“Zoom”域名,其中 25% 的域名是在过去的 7 天中注册的。
此外,研究人员还检测到“ zoom-us-zoom ############.exe”和“ microsoft-teams_V#mu#D##########.exe”恶意文件,其中#代表各种数字。这类恶意软件会在用户的计算机中安装 InstallCore PUA,从而导致其他恶意软件的捆绑安装。
当然,Zoom 并不是攻击者的唯一目标,随着疫情的发展,各个国家和地区都开始鼓励学生在线学习,因此在线学习平台也成为了攻击目标,研究人员发现了伪装成合法 Google Classroom 的钓鱼网站,例如 googloclassroom \ .com 和 googieclassroom \ .com,来诱导用户下载恶意软件。