導(dǎo)讀:我們就事論事,先來看看“全球第一抗疫潛力股”Zoom近期為何會“焦頭爛額”,Zoom的網(wǎng)絡(luò)安全和隱私問題是否真的那么嚴(yán)重?以下,我們。被業(yè)內(nèi)專家和媒體控訴最多的,用戶最關(guān)注的隱私和安全問題梳理如下:
近日來,全球知名科技媒體、企業(yè)和機構(gòu)(Wired、Intercept、Motherboard、Krebs、Citizen Lab、特斯拉、NASA等等)集體聲討Zoom的安全和隱私問題,一時間,國內(nèi)媒體報道中“中國威脅論”、“地緣政治科技化”、“Zoom與Tiktok、華為、大疆一起被針對”的論調(diào)甚囂塵上,甚至掩蓋了對Zoom事件實質(zhì)性和專業(yè)性的探討的聲音。以下,我們簡要梳理Zoom事件的關(guān)鍵事實、關(guān)鍵問題和權(quán)威專家觀點,方便讀者自行解讀和分析。
在展開討論之前,我們先羅列幾個基本事實作為開胃菜:
Zoom處理和整改安全和隱私問題的態(tài)度和速度很好,迄今為止都是非常坦誠和高效的。Zoom的安全性,對于大多數(shù)普通用戶和非關(guān)鍵任務(wù)團隊協(xié)作來說都是足夠的。普通用戶無需為Zoom的大量負(fù)面報道而困惑,目前Zoom的“安全風(fēng)暴”,更多還是專業(yè)領(lǐng)域的討論。
Zoom安全問題的三個風(fēng)暴眼
作為純正的美國公司,所謂的愛國話題,僅僅是因為Zoom的創(chuàng)始人是土生土長的山東人,而Zoom本身的成長,也與國內(nèi)龐大的低成本高效率開發(fā)團隊以及行業(yè)用戶密不可分,事實上被思科收購的WebEx的成功也離不開中國程序員,這并不是Zoom的“原罪”。
我們就事論事,先來看看“全球第一抗疫潛力股”Zoom近期為何會“焦頭爛額”,Zoom的網(wǎng)絡(luò)安全和隱私問題是否真的那么嚴(yán)重?密碼學(xué)大咖Schneier的說法將Zoom的問題分為三大類:
不良的隱私慣例;不良的安全慣例;不良的用戶配置。
以下,我們將被業(yè)內(nèi)專家和媒體控訴最多的,用戶最關(guān)注的隱私和安全問題梳理如下:
1.不良的隱私慣例
產(chǎn)品功能侵犯用戶隱私。正如安全牛之前報道過的,Zoom的客戶端在使用過程中,會有很多“小功能”需要留神,例如老板可以知道你是否在專注會議,是否最小化了窗口敷衍了事,甚至?xí)h記錄和用戶之間聊天的文本信息的訪問權(quán)也都缺乏透明度。
在用戶不知情的情況下與Facebook和Google等“怪獸”分享用戶數(shù)據(jù)。
3月26日,《Motherboard》刊文指出,只要是在iOS系統(tǒng)下載或打開Zoom App時,Zoom就會通過Facebook SDK路徑向Facebook傳送用戶隱私信息,就連非Facebook用戶也是如此。
Zoom會秘密顯示人們LinkedIn個人資料中的數(shù)據(jù),這使一些會議參與者可以互相窺探。
2.不良的安全慣例
(1) 糟糕的安全設(shè)計——Zoom Bombing。會議ID很容易猜測,加入在線會議session也無需更多認(rèn)證,任何人都可以通過遍歷或者猜測闖入一個在線會議,分享色情視頻或者冒犯性內(nèi)容。新冠期間全球大量用戶遭受Zoom Bombing攻擊,甚至很多是中小學(xué)在線課程,影響極為惡劣,Zoom產(chǎn)品本身的“安全設(shè)計”有著不可推卸的責(zé)任。
(2) 夸大產(chǎn)品安全功能(端到端加密)。在網(wǎng)站和營銷材料中使用“端到端加密”字樣,但實際上(如果不是邏輯上)并非如此,Zoom既沒有提供嚴(yán)格意義上的端到端加密功能,其加密強度也存在夸大嫌疑(加拿大公民實驗室分析發(fā)現(xiàn)Zoom聲稱的AES-256加密并不存在,所有與會者都是以ECB模式使用單個AES-128密鑰來加密音頻和視頻),會讓用戶產(chǎn)生不必要的安全感。其實Zoom最大的問題并非沒有采用端到端加密,要知道蘋果公司花了多年時間才實現(xiàn)了FaceTime端到端加密(限32人),而Google的企業(yè)級Hangouts Meet平臺甚至都不提供端到端加密,而每個會議最多只能容納250名參與者。Zoom的問題是不誠實!
目前就Zoom加密問題發(fā)聲的密碼學(xué)家都強調(diào)說,Zoom的集中式密鑰管理系統(tǒng)和不透明的密鑰生成是該公司過去的端到端加密聲明以及當(dāng)前混亂的消息傳遞的最大問題(專家們并沒有揪住在中國設(shè)置密鑰服務(wù)器的問題,因此一心想把這個問題政治化的人,只敢在娛樂媒體平臺上混淆視聽)。實際上不僅是Zoom,大多數(shù)多方視頻會議應(yīng)用都難以做到真正的端到端,但是,人家沒有玩文字游戲,沒有糊弄用戶。
(3) 非受迫性失誤:攝像頭后門和“中國服務(wù)器”。Schneier指出,這并不是Zoom第一次在安全性上草率行事。去年,一位研究人員發(fā)現(xiàn)Mac Zoom Client中的漏洞允許任何惡意網(wǎng)站未經(jīng)許可就啟用相機。這似乎是一個蓄意的設(shè)計選擇:Zoom設(shè)計了其服務(wù)來繞過瀏覽器安全設(shè)置,并在用戶不知情或未同意的情況下遠(yuǎn)程啟用用戶的網(wǎng)絡(luò)攝像機(EPIC 對此提出了FTC投訴)。Zoom去年修補了此漏洞。
此外,關(guān)于北美用戶會話的加密密鑰需要經(jīng)過中國服務(wù)器的違規(guī)問題,Zoom已經(jīng)第一時間確認(rèn)并完成整改,Zoom指出這是疫情期間北美服務(wù)器壓力過大增配服務(wù)器時“不小心”在白名單中錯誤地配置了兩個中國的數(shù)據(jù)中心。
Schneier指出,根據(jù)Zoom最近曝出的各種安全問題來看,這類不良安全決策、草率的編碼錯誤以及隨機的軟件漏洞還會有更多。
(4) 低級失誤:系統(tǒng)登錄憑據(jù)泄露漏洞(UNC注入攻擊)。Windows版Zoom應(yīng)用程序(Mac系統(tǒng)也存在類似問題)會自動將通用命名字符串UNC(例如\\ attacker.example.com/C$)轉(zhuǎn)換為可點擊的鏈接(很多軟件都會區(qū)分對待URL和UNC,后者不應(yīng)被轉(zhuǎn)換成可點擊鏈接而是以純文本發(fā)送)。如果目標(biāo)點擊惡意UNC鏈接,則Zoom會將Windows用戶名和相應(yīng)的NTLM哈希發(fā)送到鏈接中包含的地址,從而導(dǎo)致系統(tǒng)登錄憑據(jù)泄露。產(chǎn)品存在安全漏洞是很正常的事情,但是一些水準(zhǔn)之下的漏洞,則會暴露一個創(chuàng)業(yè)公司的安全能力和安全意識的欠缺,對品牌的傷害很大!
Zoom安全風(fēng)暴的三點啟示
雖然Zoom是一家純粹的美國科技創(chuàng)業(yè)公司,但是Zoom最近一周遭遇的“安全風(fēng)暴”,足以引起中國科技公司的重視,在數(shù)字供應(yīng)鏈全球化(我們盡量不摻雜經(jīng)濟和政治話題)的今天,即使你不是所謂的“出?!惫荆矐?yīng)當(dāng)清醒地思考以下幾個問題:
1.繞不過隱私和安全大坑是基因缺陷?
我們的一些科技企業(yè)為什么老是在隱私保護(hù)的大坑翻車?去年底小米生態(tài)鏈企業(yè)Wyze泄露北美240萬用戶數(shù)據(jù)(也涉及到數(shù)據(jù)回傳中國服務(wù)器的指控)、前不久獵豹移動40多款應(yīng)用被谷歌全線下架、微盟刪庫跑路……這些都是近半年來信手拈來的血跡未干的“成功創(chuàng)業(yè)”案例。這些公司真正重視過安全和隱私嗎?有CPO(首席隱私官)嗎?有年薪千萬的CISO嗎?有充足的網(wǎng)絡(luò)安全預(yù)算和人才嗎?有完善的風(fēng)險管理、風(fēng)險控制和安全運營架構(gòu)嗎?有基于安全做頂層設(shè)計、流程設(shè)計和產(chǎn)品設(shè)計的“安全設(shè)計”思維嗎?董事會了解企業(yè)的安全現(xiàn)狀、安全威脅和安全策略嗎?這些企業(yè)是否考慮過,因為在國內(nèi)行走江湖“賴以成名”的安全和隱私惡習(xí)“出海事發(fā)”,給后來的優(yōu)秀科技企業(yè)在全球的市場的品牌形象上挖了多大的坑?
2.網(wǎng)絡(luò)安全就是生命,網(wǎng)絡(luò)安全就是生產(chǎn)力,網(wǎng)絡(luò)安全就是創(chuàng)新力。
這句話,不知道有幾家企業(yè)真正理解了。筆者在一家融資上百億的國內(nèi)醫(yī)藥研發(fā)公司看到的網(wǎng)絡(luò)安全問題,比“無癥狀新冠患者”還讓人不寒而栗。在這個高度不確定的時代,唯一能夠確定的一件事就是:如果沒有安全,其他隨時可能歸零,無論你曾經(jīng)多么“敏捷”、“顛覆“、平地起高樓。
3.開源不是甩鍋器,也不是擋箭牌和救命草。
焦頭爛額的Zoom創(chuàng)始人賭氣說:“我做不好就開源?!?開源,確實是不少科技企業(yè)領(lǐng)導(dǎo)的御用寶鍋,每當(dāng)面臨安全和隱私方面的問題和(海外)監(jiān)管困境,不是正視問題反省策略尋求正面突破,而是選擇用開源來作擋箭牌,這個思路是基于大眾多年以來形成的一個錯誤常識:開源更加安全(如果非要加上兩個字,就是終極)。
2019年開源軟件安全漏洞數(shù)量激增50%
數(shù)據(jù)來源:WhiteSource的2020年度開源軟件安全調(diào)查報告
事實上近年來開源的安全問題已經(jīng)非常嚴(yán)峻,各種“手滑”、“后門”漏洞層出不窮,更是“供應(yīng)鏈攻擊”的重要目標(biāo)。因此,那些批評Zoom的安全專家們提議使用的分布式、免費和開源的Zoom替代方案——Jitsi,這很可能是一個更大的坑,企業(yè)用戶不要盲目入坑,拋開并不干凈的安全問題(但相比Zoom的現(xiàn)狀來說確實有優(yōu)勢)不談,開源方案的可用性和可靠性,尤其是作為視頻會議產(chǎn)品來看,依然有很大的問題。