2020年4月8日 星期三

Zoom 爭議



4 小時 · [ 跟風說一下 Zoom (?!) ]
其實 Zoom 爭議大概從 3 月底就開始在資安圈討論了,因為自己主攻 mobile 所以本沒打算說太多,沒想到事情越滾越大,讓我手癢想發文了 XD
本人因為在資安圈瞎混了一陣,追蹤了不少大佬,因此看了許多他們分享關於 Zoom 的安全疑慮技術相關的文章。這裡就先說我個人的結論:
Zoom 非常強調自己的服務以「安全性」與「隱私」放在首位,然而結果卻是非常不隱私,資訊安全性方面也不專業。我個人比較偏向這些問題大都是軟體 / 服務開發過程草率、便宜行事造成的,也就是說 Zoom 並沒有認真對待自己的產品,一旦大量用戶開始使用並接受專業人士放大鏡的檢視後便不堪一擊。
整理一下目前知道 Zoom 幾個大問題:
1. Zoom Bombing:公開會議可以輕易被外部侵入搗亂會議。這個問題出在兩個點:(a) 會議預設無密碼 (b) Zoom 的會議 ID 過短且太過規律 (據稱是簡單遞增函數...),非常容易被自動化工具猜到 (Zoom ID 掃描程式:https://bit.ly/3aVHVN0)
2. 蒐集大量使用者個人資料:
(a) Facebook:他們在手機端使用 Facebook SDK,在每次打開 Zoom 時會蒐集並傳送個人化資料給 Facebook,目的是為了讓 FB 更精確推送個人化廣告
(b) LinkedIn:根據蒐集到的個人資訊,自動匹配用戶的 LinkedIn 帳號並分享在會議中
(c) 其他:網路客戶端也有蒐集大量「廣告用」個人資料
3. 謊騙加密:這個應該是我認為最嚴重的一項。Zoom 主打 End-to-End (E2E) Encryption (點對點加密,不知道是不是這樣直接翻譯哈哈)。最後卻被資安研究員發現,他們只有「聊天室」是 E2E,最重要的視訊是沒有的,而且僅有的加密的方式違反常規資安的設計,容易造成資安破口。
4. 軟體安全:這方面就有太多瑣碎問題了,舉幾個例
(a) macOS 的 Zoom 客戶端安裝程式濫用某個系統提供的功能,使用非正常管道跳過使用者允許,常用於電腦病毒,這也是為什麼有人稱 Zoom 根本是惡意程式
(b) 在 Windows 透過聊天室傳送特殊字串,Zoom 客戶端會誤判為 Windows 特殊鏈結,用戶誤點擊最嚴重可造成駭客遠端遙控電腦
----------------------------
本篇不深入提 Zoom 背後的中資與雇用大量中國境內工程師的議題,畢竟說再多都只是臆測,這裡主要以客觀技術層面為主。
最後 quote 一句資安研究員的話:Zoom's security is at best sloppy, and malicious at worst。至於大家心中的尺偏向哪一側,就由各位自己判定囉

沒有留言:

張貼留言