近日來,全球知名科技媒體���、企業(yè)和機構(gòu)(Wired�、Intercept��、Motherboard�����、Krebs��、Citizen Lab�����、特斯拉��、NASA等等)集體聲討Zoom的安全和隱私問題��,一時間����,國內(nèi)媒體報道中“中國威脅論”����、“地緣政治科技化”�����、“Zoom與Tiktok���、華為���、大疆一起被針對”的論調(diào)甚囂塵上,甚至掩蓋了對Zoom事件實質(zhì)性和專業(yè)性的探討的聲音�。以下,我們簡要梳理Zoom事件的關(guān)鍵事實�����、關(guān)鍵問題和權(quán)威專家觀點����,方便讀者自行解讀和分析。
在展開討論之前��,我們先羅列幾個基本事實作為開胃菜:
Zoom處理和整改安全和隱私問題的態(tài)度和速度很好,迄今為止都是非常坦誠和高效的�。Zoom的安全性,對于大多數(shù)普通用戶和非關(guān)鍵任務(wù)團(tuán)隊協(xié)作來說都是足夠的�����。普通用戶無需為Zoom的大量負(fù)面報道而困惑�����,目前Zoom的“安全風(fēng)暴”���,更多還是專業(yè)領(lǐng)域的討論。
Zoom安全問題的三個風(fēng)暴眼
作為純正的美國公司����,所謂的愛國話題,僅僅是因為Zoom的創(chuàng)始人是土生土長的山東人���,而Zoom本身的成長����,也與國內(nèi)龐大的低成本高效率開發(fā)團(tuán)隊以及行業(yè)用戶密不可分���,事實上被思科收購的WebEx的成功也離不開中國程序員��,這并不是Zoom的“原罪”�����。
我們就事論事����,先來看看“全球第一抗疫潛力股”Zoom近期為何會“焦頭爛額”,Zoom的網(wǎng)絡(luò)安全和隱私問題是否真的那么嚴(yán)重?密碼學(xué)大咖Schneier的說法將Zoom的問題分為三大類:
不良的隱私慣例;不良的安全慣例;不良的用戶配置����。
以下,我們將被業(yè)內(nèi)專家和媒體控訴最多的�����,用戶最關(guān)注的隱私和安全問題梳理如下:
1.不良的隱私慣例
產(chǎn)品功能侵犯用戶隱私����。正如安全牛之前報道過的,Zoom的客戶端在使用過程中���,會有很多“小功能”需要留神�,例如老板可以知道你是否在專注會議,是否最小化了窗口敷衍了事�,甚至?xí)h記錄和用戶之間聊天的文本信息的訪問權(quán)也都缺乏透明度。
在用戶不知情的情況下與Facebook和Google等“怪獸”分享用戶數(shù)據(jù)���。
3月26日��,《Motherboard》刊文指出�,只要是在iOS系統(tǒng)下載或打開Zoom App時����,Zoom就會通過Facebook SDK路徑向Facebook傳送用戶隱私信息���,就連非Facebook用戶也是如此��。
Zoom會秘密顯示人們LinkedIn個人資料中的數(shù)據(jù)�,這使一些會議參與者可以互相窺探�。
2.不良的安全慣例
(1) 糟糕的安全設(shè)計——Zoom Bombing。會議ID很容易猜測��,加入在線會議session也無需更多認(rèn)證�����,任何人都可以通過遍歷或者猜測闖入一個在線會議,分享色情視頻或者冒犯性內(nèi)容��。新冠期間全球大量用戶遭受Zoom Bombing攻擊���,甚至很多是中小學(xué)在線課程���,影響極為惡劣,Zoom產(chǎn)品本身的“安全設(shè)計”有著不可推卸的責(zé)任����。
(2) 夸大產(chǎn)品安全功能(端到端加密)。在網(wǎng)站和營銷材料中使用“端到端加密”字樣�,但實際上(如果不是邏輯上)并非如此,Zoom既沒有提供嚴(yán)格意義上的端到端加密功能����,其加密強度也存在夸大嫌疑(加拿大公民實驗室分析發(fā)現(xiàn)Zoom聲稱的AES-256加密并不存在,所有與會者都是以ECB模式使用單個AES-128密鑰來加密音頻和視頻)�,會讓用戶產(chǎn)生不必要的安全感。其實Zoom最大的問題并非沒有采用端到端加密�,要知道蘋果公司花了多年時間才實現(xiàn)了FaceTime端到端加密(限32人),而Google的企業(yè)級Hangouts Meet平臺甚至都不提供端到端加密�����,而每個會議最多只能容納250名參與者。Zoom的問題是不誠實!
目前就Zoom加密問題發(fā)聲的密碼學(xué)家都強調(diào)說�,Zoom的集中式密鑰管理系統(tǒng)和不透明的密鑰生成是該公司過去的端到端加密聲明以及當(dāng)前混亂的消息傳遞的最大問題(專家們并沒有揪住在中國設(shè)置密鑰服務(wù)器的問題,因此一心想把這個問題政治化的人����,只敢在娛樂媒體平臺上混淆視聽)。實際上不僅是Zoom��,大多數(shù)多方視頻會議應(yīng)用都難以做到真正的端到端����,但是,人家沒有玩文字游戲�����,沒有糊弄用戶�。
(3) 非受迫性失誤:攝像頭后門和“中國服務(wù)器”����。Schneier指出,這并不是Zoom第一次在安全性上草率行事�����。去年,一位研究人員發(fā)現(xiàn)Mac Zoom Client中的漏洞允許任何惡意網(wǎng)站未經(jīng)許可就啟用相機���。這似乎是一個蓄意的設(shè)計選擇:Zoom設(shè)計了其服務(wù)來繞過瀏覽器安全設(shè)置���,并在用戶不知情或未同意的情況下遠(yuǎn)程啟用用戶的網(wǎng)絡(luò)攝像機(EPIC 對此提出了FTC投訴)。Zoom去年修補了此漏洞����。
此外,關(guān)于北美用戶會話的加密密鑰需要經(jīng)過中國服務(wù)器的違規(guī)問題����,Zoom已經(jīng)第一時間確認(rèn)并完成整改,Zoom指出這是疫情期間北美服務(wù)器壓力過大增配服務(wù)器時“不小心”在白名單中錯誤地配置了兩個中國的數(shù)據(jù)中心�����。
Schneier指出��,根據(jù)Zoom最近曝出的各種安全問題來看����,這類不良安全決策����、草率的編碼錯誤以及隨機的軟件漏洞還會有更多��。
(4) 低級失誤:系統(tǒng)登錄憑據(jù)泄露漏洞(UNC注入攻擊)�����。Windows版Zoom應(yīng)用程序(Mac系統(tǒng)也存在類似問題)會自動將通用命名字符串UNC(例如\\ attacker.example.com/C$)轉(zhuǎn)換為可點擊的鏈接(很多軟件都會區(qū)分對待URL和UNC�����,后者不應(yīng)被轉(zhuǎn)換成可點擊鏈接而是以純文本發(fā)送)�。如果目標(biāo)點擊惡意UNC鏈接,則Zoom會將Windows用戶名和相應(yīng)的NTLM哈希發(fā)送到鏈接中包含的地址�����,從而導(dǎo)致系統(tǒng)登錄憑據(jù)泄露���。產(chǎn)品存在安全漏洞是很正常的事情,但是一些水準(zhǔn)之下的漏洞����,則會暴露一個創(chuàng)業(yè)公司的安全能力和安全意識的欠缺���,對品牌的傷害很大!
Zoom安全風(fēng)暴的三點啟示
雖然Zoom是一家純粹的美國科技創(chuàng)業(yè)公司,但是Zoom最近一周遭遇的“安全風(fēng)暴”���,足以引起中國科技公司的重視��,在數(shù)字供應(yīng)鏈全球化(我們盡量不摻雜經(jīng)濟(jì)和政治話題)的今天���,即使你不是所謂的“出海”公司����,也應(yīng)當(dāng)清醒地思考以下幾個問題:
1.繞不過隱私和安全大坑是基因缺陷?
我們的一些科技企業(yè)為什么老是在隱私保護(hù)的大坑翻車?去年底小米生態(tài)鏈企業(yè)Wyze泄露北美240萬用戶數(shù)據(jù)(也涉及到數(shù)據(jù)回傳中國服務(wù)器的指控)、前不久獵豹移動40多款應(yīng)用被谷歌全線下架���、微盟刪庫跑路……這些都是近半年來信手拈來的血跡未干的“成功創(chuàng)業(yè)”案例���。這些公司真正重視過安全和隱私嗎?有CPO(首席隱私官)嗎?有年薪千萬的CISO嗎?有充足的網(wǎng)絡(luò)安全預(yù)算和人才嗎?有完善的風(fēng)險管理、風(fēng)險控制和安全運營架構(gòu)嗎?有基于安全做頂層設(shè)計���、流程設(shè)計和產(chǎn)品設(shè)計的“安全設(shè)計”思維嗎?董事會了解企業(yè)的安全現(xiàn)狀�����、安全威脅和安全策略嗎?這些企業(yè)是否考慮過��,因為在國內(nèi)行走江湖“賴以成名”的安全和隱私惡習(xí)“出海事發(fā)”����,給后來的優(yōu)秀科技企業(yè)在全球的市場的品牌形象上挖了多大的坑?
2.網(wǎng)絡(luò)安全就是生命,網(wǎng)絡(luò)安全就是生產(chǎn)力�,網(wǎng)絡(luò)安全就是創(chuàng)新力。
這句話����,不知道有幾家企業(yè)真正理解了。筆者在一家融資上百億的國內(nèi)醫(yī)藥研發(fā)公司看到的網(wǎng)絡(luò)安全問題�,比“無癥狀新冠患者”還讓人不寒而栗。在這個高度不確定的時代�����,唯一能夠確定的一件事就是:如果沒有安全���,其他隨時可能歸零��,無論你曾經(jīng)多么“敏捷”�、“顛覆“����、平地起高樓。
3.開源不是甩鍋器���,也不是擋箭牌和救命草�。
焦頭爛額的Zoom創(chuàng)始人賭氣說:“我做不好就開源����。” 開源���,確實是不少科技企業(yè)領(lǐng)導(dǎo)的御用寶鍋�,每當(dāng)面臨安全和隱私方面的問題和(海外)監(jiān)管困境�����,不是正視問題反省策略尋求正面突破�����,而是選擇用開源來作擋箭牌��,這個思路是基于大眾多年以來形成的一個錯誤常識:開源更加安全(如果非要加上兩個字����,就是終極)���。
2019年開源軟件安全漏洞數(shù)量激增50%
數(shù)據(jù)來源:WhiteSource的2020年度開源軟件安全調(diào)查報告
事實上近年來開源的安全問題已經(jīng)非常嚴(yán)峻,各種“手滑”�、“后門”漏洞層出不窮,更是“供應(yīng)鏈攻擊”的重要目標(biāo)�����。因此�����,那些批評Zoom的安全專家們提議使用的分布式����、免費和開源的Zoom替代方案——Jitsi,這很可能是一個更大的坑����,企業(yè)用戶不要盲目入坑,拋開并不干凈的安全問題(但相比Zoom的現(xiàn)狀來說確實有優(yōu)勢)不談����,開源方案的可用性和可靠性�����,尤其是作為視頻會議產(chǎn)品來看,依然有很大的問題�。
