再议 Zoom:这些安全隐私问题你都有数吗?
本文来自 36 氪旗下编译团队神译局,译者沈晨烨 Cher,爱范儿经授权发布。
新冠疫情影响了诸多行业,却助推了线上服务业的发展,Zoom 作为典型代表已引热议。本文列举了用户需担心的部分安全隐私问题,并提供了一些应对措施。本文编译自 Fast Company,作者贾里德・纽曼(Jared Newman),原文标题 The Zoom privacy and security issues you still need to worry about。
上周,Zoom 首席执行官袁征(Eric Yuan)在其博文种声称要处理由记者和外部安全研究人员发现的一系列问题。Zoom 的视频会议服务帮助远程工作者度过新冠危机,它已对其视频会议软件进行了优化,包括增强预防恶意访客的默认保护,删除将数据秘密发送到 Facebook 的代码,撤回能使某些用户从其他聊天参与者中收集个人数据的领英(LinkedIn)营销工具,停用让雇主看到员工在视频通话中是否注意力集中的小工具。
尽管 Zoom 仍在进一步提高其安全性和隐私性,并且冻结新功能开发 90 天,用户仍需谨慎行事。 没有任何服务的安全措施是万无一失的,况且 Zoom 本身是如此的复杂,用户很容易迷失在它花哨的功能中。在参加下一次 Zoom 会议之前,你需要了解下以下这些安全隐私问题:
「Zoom 炸弹」
「Zoom 炸弹」是指某恶意用户获得对视频会议的访问权并骚扰与会者。例如,一些学校已报告在他们的虚拟教室中出现了种族主义信息、死亡威胁和色情信息,纽约市的学校甚至禁用 Zoom 以阻止威胁。当会议没有任何密码保护为公开状态时,就可能会发生此类事件,某些攻击者甚至还使用软件来猜测未列出的 Zoom 房间号。即使会议受到密码保护,公开分享完整的会议地址也会促发「Zoom 炸弹」。
上周,Zoom 更改了其默认设置来遏制「Zoom 炸弹」。现在,所有会议都默认要求输入密码,甚至包括 4 月 5 日 Zoom 做出改变前的所有会议。所有与会者都必须进入「等候室」,直到主持人允许他们加入为止。在教育计划,屏幕共享改为默认仅限教师使用。虽然这些更改应有助于遏制「Zoom 炸弹」,但并不能完全消除风险。如果你担心有人入侵你的视频会议,可以采取以下以下步骤:
- 不要公开分享完整的 Zoom 会议链接,因为该链接内置了密码加密版本,且允许任何人在不知道会议密码的情况下也可以一键加入会议。因此对链接保密是很重要的。
- 如果你担心被邀请者无意间与陌生人分享完整的会议链接,请转到 Zoom 的个人资料设置页面,并禁用「一键入会」功能。记住,这仅适用于 Zoom 会议邀请中的链接。如果你从已经进行的会议中复制邀请地址,它将仍然嵌入用于一键访问的密码。
- 尚未制定教育计划的老师可将「屏幕共享」设为「仅限主持人」,这样学生就无法搞恶作剧了。
- 科技记者乔西・康斯汀(Josh Constine)建议禁用文件传输,预防有人试图传递恶意文件。
- 如果你坚持分享一键式地址或不想启用等候室,科技记者格列・弗莱施曼(Glenn Fleishman)建议在你的初始邀请中给出一个链接预告,然后在会议开始之前发送该链接。这可以减少预留给潜在黑客的时间。
- 如需更多保护,可考虑在所有被邀请者都加入后锁定会议。选择「管理参与者」,在参与者菜单中选择「更多」,然后选择「锁定会议」。
个人信息泄漏
科技记者约瑟夫・考克斯(Joseph Cox)上周报道到,Zoom 允许用户查看具有相同电子邮件提供商的其他用户的电子邮件地址,以及相应的个人资料照片。这里指 Zoom 的「公司目录」功能,该功能旨在允许组织内部人员查找同事。 尽管 Zoom 阻止了该功能与 Gmail 和 Yahoo 等流行的电子邮件域名一起使用,但它未将诸如例如荷兰的 dds.nl 和 quicknet.nl 这一些较小的电子邮件提供商列入黑名单。
目前,唯一的办法就是向 Zoom 投诉。 如果你使用一家小众电子邮件提供商,并且在 Zoom 应用程序的「联系人」部分中发现了不熟悉的人,你就需要向 Zoom 申请,让其将该邮件域名列入「公司目录」黑名单。
录音泄漏
由于 Zoom 对录音所采取的命名方案,一些用户认为是私有的视频其实可以在网上搜索到。《华盛顿邮报》记者德鲁・哈威尔(Drew Harwell)曾报道,其中一些链接已经出现在 YouTube 和 Vimeo 上,而另一些链接则出现在亚马逊存储空间中,这些用户可能并不知道它们公开了。
有人可能会说,用户应该更加注意他们上传会议记录的方式和位置,但是正如记者哈威尔所报道的,「Zoom 工程师绕过了其他视频聊天程序的常见安全功能,例如要求人们在保存音频前使用唯一的文件名。」Zoom 尚未更改其命名方案。
文字记录泄漏
你可能会认为 Zoom 中的私人文字聊天记录将始终保持私人状态,但在特定条件下并非如此。福布斯撰稿人凯特・奥弗莱厄蒂(Kate O’Flaherty)报道称,如果主持人使用「在此计算机上记录」选项本地记录 Zoom 会议,则主持人与其他参与者之间任何的私人聊天都将包含在一个文本文件中,与会议视频一起保存。如果主持人之后与同事分享整个会议文件夹,那么他们就可以查看这些聊天记录。
由于一些言辞泛泛的 Twitter 热帖,这种说法变得有些夸张,所以需要进行一些额外的解释。如果没有人记录会议,或通过 Zoom 自己的云存储选项保存会议,那么 Zoom 不会保存任何私人聊天。而且,即使主持人在本地电脑上记录会议,也只有该主持人的私人聊天才会显示在日志中。
当然,一个足够谨慎的会议主持人总是可以在与其他人分享会议记录之前删除或修改这些文本文件,但更安全的方法是不要在 Zoom 上留下任何可能使你遇到麻烦的内容。如果你必须对你的同事说一些不好的话,找一个更私人的场所。
「端到端」加密漏洞
尽管 Zoom 在其营销材料和白皮书中声称视频通话可以进行端到端加密,但该公司上周承认,这一说法与安全研究人员的理解不同。的确,当与会者在电脑或移动设备音频上都使用 Zoom 的应用程序,未录制会议并且未使用 Zoom 的「连接器」功能时,Zoom 不会在传向每一用户的任何时候解密会议内容。但是正如「拦截号」(The Intercept)和「公民实验室」(The Citizen Lab)所报道的那样,Zoom 使用的是其自身可从技术上获得会议内容的加密形式。
因此,「公民实验室」建议,担心间谍活动的政府机构或企业应避免使用该服务,处理患者数据医疗保健提供者也应避免。维权人士、律师和新闻记者在处理敏感信息时也应避免使用 Zoom。科技记者洛伦佐・弗朗西斯奇比奇拉(Lorenzo Franceschi-Bicchierai)提出了几种端到端加密的替代方案,包括 Apple 的 FaceTime 和 Wire 的会议订阅。
「等候室」的问题
「公民实验室」的报道还提到了 Zoom「等候室」功能的漏洞,它要求会议主持人逐个批准每个参与者进入会议。但「公民实验室」没有提供有关这一安全漏洞的更多详情,并表示它只会在 Zoom 解决了这个问题之后才爆料。 与此同时,该团队建议关闭「等候室」。
Zoom 将「等候室」设为默认设置,以期遏制「Zoom 炸弹」攻击。 虽然用户仍可以更改设置,关闭该功能,但是这样做弊大于利。
正如 Zoom 的安全隐私问题仍牵扯其他诸多方面,如何最好地保护自己绝没有一个简单的回答。