能信安资讯: 在疫情的发酵之下,一部分APP乘势兴起,近日,在疫情期间大火的视频会议软件Zoom又爆出重大安全漏洞:数以万计私人视频被上传至公开网页,任何人都可在线围观!
目前全球都在承受新型冠状病毒的影响,无数企业不得不开启在家线上办公模式,除了小学生又爱又恨的钉钉之外,视频会议软件中的当红炸子鸡——Zoom自疫情突发以来,日活跃用户量从12月份的1000万人一路飙升至现在的2亿人,尤其在欧美地区,Zoom一手承包了人们开会、上课、培训、问诊、探亲访友,甚至办婚礼、葬礼等一应活动,深得无法出门的网友们的欢心。
软件漏洞之下的多米诺效应
操作简单,上手快是Zoom的重要特色,但用户激增之下,软件漏洞也被暴露无遗。
3 月 26 日Motherboard指出,在 iOS 系统下载或打开 Zoom App 时,App内嵌的 Facebook SDK会向Facebook 传送用户的手机型号、时区、城市、运营商以及广告唯一标识符等信息,而 iOS 版本的 Zoom甚至没有在隐私条款中提前说明,就将用户数据共享给Facebook。随后,Zoom承认了漏洞。
3 月 28 日SpaceX 发给员工的一封电子邮件中要求员工立即停止使用 Zoom。信中是这么说的:“我们知道,我们中的很多人正在使用这一工具进行会议。但请使用电子邮件、短信或者电话作为代替通信的手段。”
3 月 30 日美国联邦调查局(FBI)波士顿办公室发布了关于 Zoom 的警告,提醒大家不要在 Zoom 进行公开会议或者广泛分享链接,甚至还谈到此前已经发生了多起身份不明的人入侵学校网络课程的事件。
3 月 31 日Zoom 再次被曝漏洞。Windows版 Zoom App爆出容易受到 NUC 路径注入攻击。由于Zoom 的“公司目录”下会展示使用同一邮箱域名的同事姓名、头像和邮箱,导致如果用户用私人邮箱注册,可能会看到同样使用该邮箱域名的陌生人,而攻击者利用聊天模块的漏洞,能够窃取点击相关链接的用户的 Windows 登陆凭据,允许访问受害者的麦克风和摄像机。与此同时,美国航天局发言人斯蒂芬妮·希尔霍尔茨也表示,NASA 也已经禁止员工使用Zoom 。
日前,华盛顿邮报报道出Zoom存在的重大安全漏洞:数以万计的私人Zoom视频被上传至公开网页,任何人都可在线围观!
数据泄露、安全隐患、漏洞频出……令大好形势在前的Zoom遭受当头一棒,受此影响,Zoom股价一路开盘下跌逾7%。
由于Zoom的安全和隐私问题日益严重,美国一些学区已经开始禁止远程教室使用Zoom。美国最大的学区纽约市教育局已经下令教师不要使用Zoom,而应该使用微软Teams在线课堂。
纽约市教育局就禁止使用Zoom提供了以下声明:为我们的学生提供安全的远程学习体验至关重要,在进一步审查安全问题后,我们认为学校应尽快停止使用Zoom。远程学习有很多新的组成部分,我们正在为教职员工和学生的最大利益做出实时决定。我们将支持教职工和学生过渡到不同的平台,如微软Teams等具有相同功能的平台,并采取适当的安全措施。
同样,内华达州的克拉克县公立学校也禁止师生使用Zoom。对此,Zoom公司发表了以下声明予以回应。Zoom非常重视用户的隐私、安全和信任。Zoom最初是为企业级用户开发的,经过我们对用户层、网络层和数据中心层的安全审查后,在全球范围内被众多机构放心地选择了完整部署。在COVID-19大流行期间,我们正在24小时不间断地工作,确保全球范围内的医院、大学、学校和其他机构都能保持连接和运行。随着越来越多的新型用户在这段时间开始使用Zoom,Zoom一直在积极主动地与用户接触,确保他们了解Zoom的相关政策,以及使用平台和保护会议的最佳方式。截至发稿日Zoom正在采取措施来解决这一安全问题,比如更新隐私政策,从其iOS应用中删除了Facebook SDK,试图解决Zoombombing问题,修复了UNC链接的安全性问题,并阐明了其在端到端加密中的地位。
其中包括:立即冻结添加新功能,并立即转移所有工程资源以专注于最大的信任,安全和隐私问题。与第三方专家和代表用户进行全面审查,以了解并确保Zoom所有新消费者使用案例的安全性。准备透明度报告,其中详细说明了与数据,记录或内容请求有关的信息。增强当前的漏洞赏金计划。进行一系列白盒渗透测试,以进一步发现和解决问题。
安全是业务稳定发展的基石
Zoom公司在“致Zoom用户的一封信”中提到:由于用户数的激增,Zoom员工一直在全天候工作。因为“在设计这款产品时并没有预见到,在短短几周内,全球各地的人们突然紧急开始在家办公、学习和社交。现在,我们有了更广泛的用户群体,他们正以各种意想不到的方式使用我们的产品,这给我们带来的挑战是我们在设计平台时所没有预料到的。”
Zoom发布至今已有9年,9年的时间都没能让Zoom将软件安全问题重视起来,这波操作也不算冤枉。
软件安全是企业业务长远发展的根基。即使现在用户规模下也不能忽视安全问题,防患于未然远胜于亡羊补牢,业务体系必要融入安全理念,以便及时应对突发事件,才是保障业务长远发展的关键。
移动应用安全漏洞扫描及风险评估系统(MSCAN)
移动应用安全漏洞扫描及风险评估系统(MSCAN)是能信安技术基于移动应用安全领域多年的经验和技术研究积累,面对新的移动应用网络安全形势研发出来的新一代智能安全产品。
MSCAN采用移动APP动态模糊检测技术、漏洞智能识别技术、漏洞动态验证技术、主动探寻移动应用APP服务端漏洞等技术;全面支持Android/iOS应用,可对微信公众号和订阅号,HTML5,Web服务端进行多维度的安全漏洞扫描,并全面、快速、自动地生成安全风险评估报告;评估报告包含了漏洞描述、危害和修复建议等内容,为广大移动应用APP厂商、第三方用户、移动应用APP测试/安全管理人员对移动应用系统进行安全风险评估提供了便利。