隨着新冠疫情的全球爆發,引發了全球遠程辦公熱潮。包括:Microsoft Teams、Zoom、Webex、騰訊會議、釘釘、飛書等國內外衆多品牌,遠程辦公變成了剛需,雲視頻會議的“用武之地”也越來越多,而Zoom無疑是最大的贏家。
不過,Zoom 最近卻接連被曝出安全隱患,甚至 FBI 都對其發出警告, NASA、SpaceX 還要求員工禁用。那麼,作爲雲視頻會議的“黑馬” Zoom 最近究竟存在什麼樣的安全隱患?
1)通過Zoom的“與會者注意跟蹤”功能,主持人知道你是否正在專注參加會議。
2)錄製會議時,會記錄會議聊天信息。
3)根據Zoom的隱私政策,Zoom會收集有關您的大量數據(姓名、地址、電子郵件地址、電話號碼、職務、僱主...)。
4)Zoom允許惡意網站接管Mac的攝像頭,而不會提醒用戶。
5)根據Zoom的隱私政策,Zoom可能會收集有關客戶的大量數據。
這些都是與用戶數據安全,個人隱私有關,不單單影響着用戶對Zoom的信任,同時也暴露出Zoom在這些方面上面的嚴重不足與忽略(相對於其它友商來說),爲了應對這些危機,Zoom的創始人袁徵在4月1號發表了一個公開信以說明最近他們在這些方面的改進與努力,可以看到Zoom的反應與應對還是比較迅速及時,態度比較正面,原文如下:
https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/
爲此,我整理了一下這封公開信裏面的行動措施,針對現有問題的短期應對或補救方案:
- 3月20日,Zoom發佈了一篇博文詳細介紹了有助於防止騷擾的保護功能 (如使用等候室、密碼保護、靜音控件和限制屏幕共享等),來幫助用戶解決 在Zoom平臺上遇到的騷擾問題,原文 https://blog.zoom.us/wordpress/2020/03/20/keep-the-party-crashers-from-crashing-your-zoom-event/
(4月8號的安全更新裏面,針對密碼保護對免費版,專業版,教育版用戶默認打開會議密碼,對於教育版用戶強制使用會議密碼保護;同時增加了等候室,安全按鍵等功能
- 3月27日,Zoom刪除了 iOS 客戶端中的 Facebook SDK,並重新對其進行配 置,以防止其從用戶那裏收集不必要的設備信息。
https://blog.zoom.us/wordpress/2020/03/27/zoom-use-of-facebook-sdk-in-ios-client/ - 3月29日,Zoom更新了隱私政策,使Zoom收集的數據以及如何使用這些數據更加清晰透明,並明確表明Zoom不會出售用戶數據,過去從未出售過用戶數 據,未來也無意出售用戶數據,原文 https://blog.zoom.us/wordpress/2020/03/29/zoom-privacy-policy/
最新的最新隱私政策如下:
https://zoom.us/privacy?zcid=1231&_ga=2.10245939.721554588.1585895578-1827509365.1585895578 - 4月1日,Zoom的一些行動:
- Zoom發佈博文以澄清關於Zoom平臺加密的事實 ,https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/
(重點就是這一句話:To be clear, in a meeting where all of the participants are using Zoom clients, and the meeting is not being recorded, we encrypt all video, audio, screen sharing, and chat content at the sending client, and do not decrypt it at any point before it reaches the receiving clients.,其實廣義上面的端到端加密是指在傳輸過程中的加密,而不是全程加密,媒體數據來到服務器上面還是需要做一個解密處理)
- 永久刪除了參會者的注意力跟蹤功能(attendee attention tracker)(4月2號更新)
- 發佈了針對 Patrick Weadle 提出的與 Mac 相關的兩個問題的程序修復。
- 發佈了 UNC 鏈接問題的程序修復。
- 在確定該功能帶來不必要的數據泄露後,永久刪除了 LinkedIn Sales Navigator 程序。(4月2號更新)
針對上述的短期應對措施,Zoom也在防止類似的數據安全,數據泄露,用戶私隱方面做了一些的長期的改善措施,包含了外部審查,資源調用,安全提升,主動的信息彙報等行動:
- 立即暫停所有新功能的開發,並將所有工程師資源都集中到我們最大的信任問題、安全問題和隱私保護問題上來。
- 立即啓動由第三方專家和用戶代表進行的全面審查。
- 編制一份透明報告,詳細說明與數據、記錄或內容有關的信息。
- 提升我們當前的有獎“捉蟲”計劃
- 與業內領先的首席信息安全官合作成立首席信息安全委員會
- 開展一系列的併發白盒***測試,以進一步發現和解決問題。
- 將在太平洋時間週三上午 10 點舉辦每週一次的網絡研討會, 爲公衆提供隱私和安全更新。
同時對於教育用戶,Zoom做了以下行動:
- 爲管理員提供關於建立虛擬教室的指南。
- 撰寫了關於如何更好地保護虛擬教室的指南。
- 制定了專門的學前班到 12 年級的隱私政策。
- 更改了學前班到 12 年級註冊的教育用戶的設置,在默認情況下,虛擬等 候室將處於啓用狀態。
- 更改了學前班到 12 年級註冊的教育用戶的設置,在默認情況下,教師將 是課堂上唯一可以共享內容的人。
最後,我們如何更安全地使用Zoom以便可以更好地在這個疫情期間使用這款雲視頻軟件呢?
1)Zoom官網(中國用戶訪問https://zoom.com.cn 海外用戶訪問 https://zoom.us )下載並使用最新的zoom客戶端(Windows、IOS、MAC、安卓)。
2)建議使用企業賬號並啓用多重身份驗證登錄到任何zoom客戶端,避免使用社交賬號登錄Zoom。
3)建議避免使用個人會議ID(PMI),即時會議建議使用隨機會議ID。
4)合理管理會議參與者,是否考慮僅允許登錄用戶加入會議;啓用虛擬會議大廳功能;正確的刪除與會者;是否需要關閉註釋功能;合理關閉會議中私下聊天功能;合理配置屏幕共享策略。