因新冠疫情,视频会议软件使用量激增,其中的代表性产品 Zoom 的日活跃用户,从去年 12 月份的 1000 万人激增到现在的2亿人。
但近日,华盛顿邮报报道 Zoom 存在的重大安全漏洞,数以万计的私人 Zoom 视频被上传至公开网页,任何人均可在线围观。
向华盛顿邮报爆料的是美国国家安全局的前研究员帕特里克·杰克逊(Patrick Jackson),他爆料称在开放的云存储空间中一次性搜到了 15000 个 Zoom 视频。
此外,加拿大多伦多大学公民实验室的研究人员对软件进行了逆向工程,发现该公司在加密方案上有虚假宣传。Zoom 称其会议使用 AES-256 加密,但实际上只在 ECB 模式下使用了简单的 AES-128 密钥,密钥由 Zoom 的服务器产生。
Zoom 还声称使用端对端加密,但事实上距离真正的端对端加密还比较遥远,该公司对端对端加密的定义与通常的定义有差距。
种种安全事件频繁发生后,Zoom 受到了全球用户的批评。因此,Zoom 宣布暂停任何新功能的开发,以专注于安全和隐私问题。企业创始人袁征表示,该公司为解决安全疑虑而采取如下的步骤:
- 对加密方法进行说明
- 删除从 iOS 应用到脸书的共享代码
- 发布与 Mac 相关问题的修复程序
- 删除与领英网站(LinkedIn)之连接,以防止不必要的数据泄露
- 发布如何避免成为「Zoom 轰炸」受害者的说明
在接下来的 90 天内,该公司又计划:
- 暂时冻结新功能开发,以专注于安全和隐私
- 与独立专家进行审查,以了解新客户所需的新安全功能
- 编写有关数据请求的透明度报告
- 扩大其“漏洞赏金”计划
- 每周举行一次网络研讨会,以提供隐私和资讯安全更新
袁征坦言,如果安全问题不解决,甚至会考虑开源 Zoom 代码。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。