Zoom到底做錯(cuò)了什么?
近日來(lái),全球知名科技媒體、企業(yè)和機(jī)構(gòu)(Wired、Intercept、Motherboard、Krebs、Citizen Lab、特斯拉、NASA等等)集體聲討Zoom的安全和隱私問(wèn)題,一時(shí)間,國(guó)內(nèi)媒體報(bào)道中“中國(guó)威脅論”、“地緣政治科技化”、“Zoom與Tiktok、華為、大疆一起被針對(duì)”的論調(diào)甚囂塵上,甚至掩蓋了對(duì)Zoom事件實(shí)質(zhì)性和專(zhuān)業(yè)性的探討的聲音。以下,我們簡(jiǎn)要梳理Zoom事件的關(guān)鍵事實(shí)、關(guān)鍵問(wèn)題和權(quán)威專(zhuān)家觀點(diǎn),方便讀者自行解讀和分析。
在展開(kāi)討論之前,我們先羅列幾個(gè)基本事實(shí)作為開(kāi)胃菜:
- Zoom處理和整改安全和隱私問(wèn)題的態(tài)度和速度很好,迄今為止都是非常坦誠(chéng)和高效的。
- Zoom的安全性,對(duì)于大多數(shù)普通用戶和非關(guān)鍵任務(wù)團(tuán)隊(duì)協(xié)作來(lái)說(shuō)都是足夠的。普通用戶無(wú)需為Zoom的大量負(fù)面報(bào)道而困惑,目前Zoom的“安全風(fēng)暴”,更多還是專(zhuān)業(yè)領(lǐng)域的討論。
Zoom安全問(wèn)題的三個(gè)風(fēng)暴眼
作為純正的美國(guó)公司,所謂的愛(ài)國(guó)話題,僅僅是因?yàn)閆oom的創(chuàng)始人是土生土長(zhǎng)的山東人,而Zoom本身的成長(zhǎng),也與國(guó)內(nèi)龐大的低成本高效率開(kāi)發(fā)團(tuán)隊(duì)以及行業(yè)用戶密不可分,事實(shí)上被思科收購(gòu)的WebEx的成功也離不開(kāi)中國(guó)程序員,這并不是Zoom的“原罪”。
我們就事論事,先來(lái)看看“全球第一抗疫潛力股”Zoom近期為何會(huì)“焦頭爛額”,Zoom的網(wǎng)絡(luò)安全和隱私問(wèn)題是否真的那么嚴(yán)重?密碼學(xué)大咖Schneier的說(shuō)法將Zoom的問(wèn)題分為三大類(lèi):
- 不良的隱私慣例;
- 不良的安全慣例;
- 不良的用戶配置。
以下,我們將被業(yè)內(nèi)專(zhuān)家和媒體控訴最多的,用戶最關(guān)注的隱私和安全問(wèn)題梳理如下:
1. 不良的隱私慣例
產(chǎn)品功能侵犯用戶隱私。正如安全牛之前報(bào)道過(guò)的,Zoom的客戶端在使用過(guò)程中,會(huì)有很多“小功能”需要留神,例如老板可以知道你是否在專(zhuān)注會(huì)議,是否最小化了窗口敷衍了事,甚至?xí)h記錄和用戶之間聊天的文本信息的訪問(wèn)權(quán)也都缺乏透明度。
在用戶不知情的情況下與Facebook和Google等“怪獸”分享用戶數(shù)據(jù)。
3月26日,《Motherboard》刊文指出,只要是在iOS系統(tǒng)下載或打開(kāi)Zoom App時(shí),Zoom就會(huì)通過(guò)Facebook SDK路徑向Facebook傳送用戶隱私信息,就連非Facebook用戶也是如此。
Zoom會(huì)秘密顯示人們LinkedIn個(gè)人資料中的數(shù)據(jù),這使一些會(huì)議參與者可以互相窺探。
2. 不良的安全慣例
(1) 糟糕的安全設(shè)計(jì)——Zoom Bombing。會(huì)議ID很容易猜測(cè),加入在線會(huì)議session也無(wú)需更多認(rèn)證,任何人都可以通過(guò)遍歷或者猜測(cè)闖入一個(gè)在線會(huì)議,分享色情視頻或者冒犯性內(nèi)容。新冠期間全球大量用戶遭受Zoom Bombing攻擊,甚至很多是中小學(xué)在線課程,影響極為惡劣,Zoom產(chǎn)品本身的“安全設(shè)計(jì)”有著不可推卸的責(zé)任。
(2) 夸大產(chǎn)品安全功能(端到端加密)。在網(wǎng)站和營(yíng)銷(xiāo)材料中使用“端到端加密”字樣,但實(shí)際上(如果不是邏輯上)并非如此,Zoom既沒(méi)有提供嚴(yán)格意義上的端到端加密功能,其加密強(qiáng)度也存在夸大嫌疑(加拿大公民實(shí)驗(yàn)室分析發(fā)現(xiàn)Zoom聲稱(chēng)的AES-256加密并不存在,所有與會(huì)者都是以ECB模式使用單個(gè)AES-128密鑰來(lái)加密音頻和視頻),會(huì)讓用戶產(chǎn)生不必要的安全感。其實(shí)Zoom最大的問(wèn)題并非沒(méi)有采用端到端加密,要知道蘋(píng)果公司花了多年時(shí)間才實(shí)現(xiàn)了FaceTime端到端加密(限32人),而Google的企業(yè)級(jí)Hangouts Meet平臺(tái)甚至都不提供端到端加密,而每個(gè)會(huì)議最多只能容納250名參與者。Zoom的問(wèn)題是不誠(chéng)實(shí)!
目前就Zoom加密問(wèn)題發(fā)聲的密碼學(xué)家都強(qiáng)調(diào)說(shuō),Zoom的集中式密鑰管理系統(tǒng)和不透明的密鑰生成是該公司過(guò)去的端到端加密聲明以及當(dāng)前混亂的消息傳遞的最大問(wèn)題(專(zhuān)家們并沒(méi)有揪住在中國(guó)設(shè)置密鑰服務(wù)器的問(wèn)題,因此一心想把這個(gè)問(wèn)題政治化的人,只敢在娛樂(lè)媒體平臺(tái)上混淆視聽(tīng))。實(shí)際上不僅是Zoom,大多數(shù)多方視頻會(huì)議應(yīng)用都難以做到真正的端到端,但是,人家沒(méi)有玩文字游戲,沒(méi)有糊弄用戶。
(3) 非受迫性失誤:攝像頭后門(mén)和“中國(guó)服務(wù)器”。Schneier指出,這并不是Zoom第一次在安全性上草率行事。去年,一位研究人員發(fā)現(xiàn)Mac Zoom Client中的漏洞允許任何惡意網(wǎng)站未經(jīng)許可就啟用相機(jī)。這似乎是一個(gè)蓄意的設(shè)計(jì)選擇:Zoom設(shè)計(jì)了其服務(wù)來(lái)繞過(guò)瀏覽器安全設(shè)置,并在用戶不知情或未同意的情況下遠(yuǎn)程啟用用戶的網(wǎng)絡(luò)攝像機(jī)(EPIC 對(duì)此提出了FTC投訴)。Zoom去年修補(bǔ)了此漏洞。
此外,關(guān)于北美用戶會(huì)話的加密密鑰需要經(jīng)過(guò)中國(guó)服務(wù)器的違規(guī)問(wèn)題,Zoom已經(jīng)第一時(shí)間確認(rèn)并完成整改,Zoom指出這是疫情期間北美服務(wù)器壓力過(guò)大增配服務(wù)器時(shí)“不小心”在白名單中錯(cuò)誤地配置了兩個(gè)中國(guó)的數(shù)據(jù)中心。
Schneier指出,根據(jù)Zoom最近曝出的各種安全問(wèn)題來(lái)看,這類(lèi)不良安全決策、草率的編碼錯(cuò)誤以及隨機(jī)的軟件漏洞還會(huì)有更多。
(4) 低級(jí)失誤:系統(tǒng)登錄憑據(jù)泄露漏洞(UNC注入攻擊)。Windows版Zoom應(yīng)用程序(Mac系統(tǒng)也存在類(lèi)似問(wèn)題)會(huì)自動(dòng)將通用命名字符串UNC(例如\\ attacker.example.com/C$)轉(zhuǎn)換為可點(diǎn)擊的鏈接(很多軟件都會(huì)區(qū)分對(duì)待URL和UNC,后者不應(yīng)被轉(zhuǎn)換成可點(diǎn)擊鏈接而是以純文本發(fā)送)。如果目標(biāo)點(diǎn)擊惡意UNC鏈接,則Zoom會(huì)將Windows用戶名和相應(yīng)的NTLM哈希發(fā)送到鏈接中包含的地址,從而導(dǎo)致系統(tǒng)登錄憑據(jù)泄露。產(chǎn)品存在安全漏洞是很正常的事情,但是一些水準(zhǔn)之下的漏洞,則會(huì)暴露一個(gè)創(chuàng)業(yè)公司的安全能力和安全意識(shí)的欠缺,對(duì)品牌的傷害很大!
Zoom安全風(fēng)暴的三點(diǎn)啟示
雖然Zoom是一家純粹的美國(guó)科技創(chuàng)業(yè)公司,但是Zoom最近一周遭遇的“安全風(fēng)暴”,足以引起中國(guó)科技公司的重視,在數(shù)字供應(yīng)鏈全球化(我們盡量不摻雜經(jīng)濟(jì)和政治話題)的今天,即使你不是所謂的“出海”公司,也應(yīng)當(dāng)清醒地思考以下幾個(gè)問(wèn)題:
1. 繞不過(guò)隱私和安全大坑是基因缺陷?
我們的一些科技企業(yè)為什么老是在隱私保護(hù)的大坑翻車(chē)?去年底小米生態(tài)鏈企業(yè)Wyze泄露北美240萬(wàn)用戶數(shù)據(jù)(也涉及到數(shù)據(jù)回傳中國(guó)服務(wù)器的指控)、前不久獵豹移動(dòng)40多款應(yīng)用被谷歌全線下架、微盟刪庫(kù)跑路……這些都是近半年來(lái)信手拈來(lái)的血跡未干的“成功創(chuàng)業(yè)”案例。這些公司真正重視過(guò)安全和隱私嗎?有CPO(首席隱私官)嗎?有年薪千萬(wàn)的CISO嗎?有充足的網(wǎng)絡(luò)安全預(yù)算和人才嗎?有完善的風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)控制和安全運(yùn)營(yíng)架構(gòu)嗎?有基于安全做頂層設(shè)計(jì)、流程設(shè)計(jì)和產(chǎn)品設(shè)計(jì)的“安全設(shè)計(jì)”思維嗎?董事會(huì)了解企業(yè)的安全現(xiàn)狀、安全威脅和安全策略嗎?這些企業(yè)是否考慮過(guò),因?yàn)樵趪?guó)內(nèi)行走江湖“賴以成名”的安全和隱私惡習(xí)“出海事發(fā)”,給后來(lái)的優(yōu)秀科技企業(yè)在全球的市場(chǎng)的品牌形象上挖了多大的坑?
2. 網(wǎng)絡(luò)安全就是生命,網(wǎng)絡(luò)安全就是生產(chǎn)力,網(wǎng)絡(luò)安全就是創(chuàng)新力。
這句話,不知道有幾家企業(yè)真正理解了。筆者在一家融資上百億的國(guó)內(nèi)醫(yī)藥研發(fā)公司看到的網(wǎng)絡(luò)安全問(wèn)題,比“無(wú)癥狀新冠患者”還讓人不寒而栗。在這個(gè)高度不確定的時(shí)代,唯一能夠確定的一件事就是:如果沒(méi)有安全,其他隨時(shí)可能歸零,無(wú)論你曾經(jīng)多么“敏捷”、“顛覆“、平地起高樓。
3. 開(kāi)源不是甩鍋器,也不是擋箭牌和救命草。
焦頭爛額的Zoom創(chuàng)始人賭氣說(shuō):“我做不好就開(kāi)源。” 開(kāi)源,確實(shí)是不少科技企業(yè)領(lǐng)導(dǎo)的御用寶鍋,每當(dāng)面臨安全和隱私方面的問(wèn)題和(海外)監(jiān)管困境,不是正視問(wèn)題反省策略尋求正面突破,而是選擇用開(kāi)源來(lái)作擋箭牌,這個(gè)思路是基于大眾多年以來(lái)形成的一個(gè)錯(cuò)誤常識(shí):開(kāi)源更加安全(如果非要加上兩個(gè)字,就是終極)。
2019年開(kāi)源軟件安全漏洞數(shù)量激增50%
數(shù)據(jù)來(lái)源:WhiteSource的2020年度開(kāi)源軟件安全調(diào)查報(bào)告
事實(shí)上近年來(lái)開(kāi)源的安全問(wèn)題已經(jīng)非常嚴(yán)峻,各種“手滑”、“后門(mén)”漏洞層出不窮,更是“供應(yīng)鏈攻擊”的重要目標(biāo)。因此,那些批評(píng)Zoom的安全專(zhuān)家們提議使用的分布式、免費(fèi)和開(kāi)源的Zoom替代方案——Jitsi,這很可能是一個(gè)更大的坑,企業(yè)用戶不要盲目入坑,拋開(kāi)并不干凈的安全問(wèn)題(但相比Zoom的現(xiàn)狀來(lái)說(shuō)確實(shí)有優(yōu)勢(shì))不談,開(kāi)源方案的可用性和可靠性,尤其是作為視頻會(huì)議產(chǎn)品來(lái)看,依然有很大的問(wèn)題。
【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
