隨著新冠肺炎疫情在全球蔓延，遠程辦公需求愈發(fā)增加，主打多人視頻會議的Zoom公司受到了越來越多的關(guān)注，不僅全球用戶數(shù)量激增，而且市值逆勢上揚，較去年IPO翻了兩倍，一時間風頭無兩。

“Zoom炸彈”入侵視頻會議的事故數(shù)量激增

可是人紅是非多，Zoom的確吸引了大量用戶，但同時也吸引了網(wǎng)絡安全專家和媒體的目光，旗下產(chǎn)品幾乎是被放在顯微鏡下觀察，成立9年以來從未有過。

近期以來，這款視頻會議軟件接二連三地被爆出安全和隱私漏洞，遭到SpaceX和NASA內(nèi)部禁用，甚至連美國聯(lián)邦調(diào)查局（FBI）也發(fā)出警告，提醒用戶使用Zoom時注意網(wǎng)絡安全問題，不要在社交媒體上廣泛分享會議鏈接，以防機密信息被黑客獲取。

經(jīng)統(tǒng)計，Zoo：m經(jīng)歷的問題和質(zhì)疑可以概括如下：由于Zoom軟件的默認設置，有人可以在未被邀請的情況下參與和惡意攪亂視頻會議，迫使會議中止。這種惡搞行為被稱為“Zoom-bombing （Zoom炸彈）”;Zoom宣稱視頻使用了端到端加密，但實際情況并非如此;數(shù)據(jù)收集和使用不透明，沒有透明度報告，而且iOS版Zoom應用會在未經(jīng)用戶授權(quán)的情況下，問Facebook發(fā)送分析數(shù)據(jù);桌面版Zoom程序存在漏洞，可能會泄露Windows和MacOS用戶的登錄憑據(jù)。

面對大大小小的漏洞和質(zhì)疑，Zoom公司C.EO袁征正式公開道歉，承諾在未來90天內(nèi)暫停所有新功能開發(fā)，動用全部工程師資源解決現(xiàn)有問題，修復過程保持透明，并且出臺有關(guān)用戶數(shù)據(jù)的透明度報告，以重塑信心。同時還會強化現(xiàn)有漏洞懸賞計劃，在每周三召開視頻講話，向社區(qū)透露問題修復的最新進展。

“我們歡迎您繼續(xù)提出問題和提供反饋，我們一直以來的首要目標都是讓用戶滿意，并確保我們平臺的安全性和隱私性值得所有人信任，”袁征在信中寫道。

損人不利己的“Zoom炸彈”

隨著北美新冠肺炎疫情愈發(fā)嚴重，不僅各大公司開始強制要求員工在家工作，很多學校也紛紛開始遠程授課。雖然Zoom此前一直主要針對企業(yè)用戶，但作為一款可以免費使用的在線視頻會議軟件，也受到了很多老師的青睞，把它當成是“云上課”工具。

這本來是zoorri擴大用戶群的絕佳機會，然而有多家媒體紛紛爆出學生使用Zoom上課卻遭遇不明人士亂入的事故，從中學生，到大學教授，再到瑜伽老師都沒能幸免。

很多人在社交媒體上大吐苦水，抱怨惡搞者故意大吼大叫，播放歌曲，還有人貼出種族歧視圖片，甚至公然播放成人視頻，迫使授課或會議中斷，造成了十分惡劣的影響。更過分的是，如果會議主持人不熟悉Zoom設置，那么即使封掉入侵者，他還會換個馬甲重新進入，導致會議根本無法繼續(xù)。

由于這種現(xiàn)象不在少數(shù)，故而得名“Zoom-bombing （Zoom炸彈）”。南加州大學校長C.arol L'Folt專門發(fā)表公開信譴責這種行為：“我對學生和教師不得不親眼目睹這種卑劣的行為感到非常難過?！痹谌狈τ行ПO(jiān)管，而且很多人都閑在家里極度無聊的情況下，模仿這種行為的風氣愈演愈烈，一度有人在某些論壇上傳授如何制造“Zoom炸彈”。好多人還會沆韰一氣，在社交平臺上召集戰(zhàn)友，有針對性地聯(lián)手破壞一場會議。

云會議本身的機制導致人們很難追蹤他們，更別提懲罰他們。必須強調(diào)的是，不懷好意的惡搞者是罪魁禍首，但Zoom軟件面臨的輿論譴責并非無理。由于Zoom會議ID的規(guī)律性（9位—11位數(shù)字），一名網(wǎng)絡安全專家已經(jīng)編寫出程序，可以自動掃描未經(jīng)加密的會議，一小時就能搜到100個左右。

對于搗亂者來說，Zoom的很多默認設置就相當于敞開大門，歡迎他們來搞事情;這大大增加了會議受到不速之客打擾的概率。比如改版前的會議鏈接默認不需要密碼，任何人都能加入，同時“允許其他與會者共享屏幕內(nèi)容（無需主持人批準）”也是默認選項。這兩條合起來就好比告訴陌生人：這是我家地址，不用鑰匙就能進，來了就別客氣，把這當成自己的家。相比之下，微軟等公司的同類云辦公軟件更加克制，通常默認由會議主持者控制屏幕共享等功能。好在Zoom亡羊補牢，幾周內(nèi)連續(xù)出臺了補救措施和設置指南，包括如何讓會議更安全的教程，以及默認開啟會議密碼和等待室選項，防止有人不請自來，或者在主持人準備好之前進入會議搗亂。

為了進一步打擊“Zoom炸彈”，美國司法部下屬的密歇根州東區(qū)檢察官辦公室發(fā)表聲明稱，非法入侵視頻會議的人可能會被指控犯有州或聯(lián)邦罪行，任何受到騷擾的人都可以向FBI舉報?！澳阌X得Zoom炸彈很好玩？讓我們走著瞧，看看你被捕了之后還覺得它好玩嗎？”州檢察官Matthew Schneider直言不諱。

端到端加密危機

退一步講，在“Zoom炸彈”事故中，Zoom出現(xiàn)設計邏輯漏洞情有可原。畢竟疫情發(fā)酵之前，其目標群體是企業(yè)內(nèi)部員工，類似“無需允許就可以共享屏幕”的產(chǎn)品邏輯，基于會議參與者都是受信賴的前提考慮也說得過去，并非觸及網(wǎng)絡安全的根本問題。然而它接下來被曝光的安全問題，則將其面臨的考驗提升了一個新高度。

首先是Zoom宣稱其視頻經(jīng)過端到端加密，這被廣泛認為是最私密的互聯(lián)網(wǎng)通信方式，能有效保護用戶的通信內(nèi)容不被第三方（包括Zoom自己）接觸到。但據(jù)The Intercept網(wǎng)站報道，實際上Zoo]m僅在部分文本信息和部分模式的音頻中使用了端到端加密，而在至關(guān)重要的視頻和電話通信方面則并未使用這一加密方式。

事實上，Zoorri曾在一份官方文件中承諾，將使用端到端方式對會議內(nèi)容進行加密，甚至是在加密模式下使用該應用進行視頻會議時，界面上方還有“正在使用端到端加密”的字樣。但被問及視頻會議是否在實際上通過端到端加密時，Zoom的發(fā)言人表示：現(xiàn)階段，不可能為Zoom平臺上的視頻會議啟用端到端加密。在端到端加密的模式下，視頻和音頻內(nèi)容需要經(jīng)過加密處理，而只有會議的參與者才擁有密鑰，有能力對數(shù)據(jù)進行解密。在這過程中，Zoom雖然可以訪問到加密內(nèi)容，但由于不掌握密鑰而不具備解鎖的能力。

在實際的運營中，Zoom在保護會議視頻內(nèi)容的加密方式是TLS

（Transport LayerSecurity，傳輸層安全協(xié)議），跟很多網(wǎng)站使用的HTTPS傳輸協(xié)議相同。也就是說，其安全程度跟保護網(wǎng)頁流量不被監(jiān)聽差不多。具體來說，用戶在電腦或手機上運行Zoom時，設備端到Zoom的服務器之間是加密的。但不同于端到端加密的關(guān)鍵點在于，Zoom自己具備訪問未被加密的視頻和音頻內(nèi)容的能力。因此在采用TLS加密方式下，用戶的視頻或音頻內(nèi)容可以防止被第三方竊取，比如通過WIFI監(jiān)視的方式，但這些內(nèi)容和數(shù)據(jù)并不能在Zoom這里保證安全。在這一問題上，Zoom回應稱，Zoom不會訪問、竊取和出售用戶數(shù)據(jù)。

? ? 截圖顯示Zoom特意在使用時強調(diào)自己使用了端到端加密連接，見左上角

Zoom發(fā)言人解釋道，公司在文件中提到的“端到端”指的是不同的Zoom端點之間的加密。這種說法是將Zoom的服務器視作是一個端點，這種做法和以往的常規(guī)理解并不相同。約翰·霍普金斯大學的密碼學家和計算機科學教授Matthew Green指出，多人參與的在線視頻本身是很難進行端到端加密的，這是因為平臺需要在會議過程中識別哪個用戶正在通話，并將這名用戶的高分辨率視頻流分發(fā)給其他參會者，而對于其他的未講話的參與者，平臺只會提供低分辨率的視頻流。“如果都是端到端加密，你需要更多額外的步驟?！瘪R修·格林表示，“這是可行的，但并不容易”。他指出，蘋果在自家的視頻通話軟件Facenme上就使用了端到端加密。對于這種疑似欺瞞行為，他表示，Zoom在端到端加密的解釋上有點模糊。

泄露系統(tǒng)登陸憑據(jù)

除了備受爭議的加密手段，Zoom還被多個信息安全專家點名，稱其Windows和Mac版軟件均存在暴露用戶登錄憑據(jù)的風險。

以Windows版本為例，Zoom的聊天系統(tǒng)會自動將URL，地址轉(zhuǎn)換為可以點擊的鏈接，以便其他用戶導航到對應網(wǎng)站。比如發(fā)送google.com文本，就會以鏈接的形式發(fā)出。但是Zoom還會將Windows系統(tǒng)的UNC路徑同樣轉(zhuǎn)換為鏈接。UNC路徑通常被用于訪問網(wǎng)絡路徑、設備或文件，比如連接局域網(wǎng)內(nèi)的打印機。如果用戶點擊這種鏈接，Windows會使用SMB文件共享協(xié)議與該地址通信。默認情況下，系統(tǒng)會嘗試使用用戶名和NTLM密碼哈希值登錄，以訪問該設備或網(wǎng)絡文件夾，有經(jīng)驗的黑客可以借助Hashcat這樣的免費工具來逆向運算，破解密碼。通常來說，很多軟件都會區(qū)分對待URL和UNC，后者不應該被默認加上可以點擊的鏈接樣式，而是應該以純文本的形式發(fā)送，以防有人誤點。

最早公布這一漏洞的安全人員已經(jīng)證實了UNC.注入攻擊的可行性，不僅捕獲和破解了登錄憑據(jù)，還能啟動命令提示符（cMD）等本地程序。

目前Zoom已經(jīng)獲悉了漏洞的存在，尚不清楚是否已經(jīng)修復。

數(shù)據(jù)不透明

最后，作為一款視頻會議軟件，另一個老生常談的話題就是用戶數(shù)據(jù)收集和透明度。在這方面，ZOOm 顯然還需要更多努力。

根據(jù)Motherboard的分析，由于Zoom的iOS版應用使用了Facebook的Graph API，即使用戶沒有Facebook賬戶，該應用也會向Facebook發(fā)送一些分析數(shù)據(jù)，比如在應用開啟時通知Facebook，并且發(fā)送設備型號、時區(qū)、所在城市、電信運營商和廣告ID等信息。經(jīng)媒體曝光后，Zoom目前已經(jīng)刪除了發(fā)送數(shù)據(jù)的代碼。

事實上，這種行為并不少見，亞馬遜旗下的智能門鈴Ring也出現(xiàn)過類似問題。鑒于這種數(shù)據(jù)發(fā)送行為并未明確出現(xiàn)在Zoom公司和軟件的隱私條款中，目前已經(jīng)有人對其提起了集體訴訟，

理由是未經(jīng)用戶允許向Facebook發(fā)送數(shù)據(jù)。

一些用戶還發(fā)現(xiàn)，Zoo：m會議管理者可以獲得的監(jiān)管信息非常多，包括與會者的Zoom窗口是否活躍，短時間內(nèi)是否開啟了其他頁面，以及他們的IP地址、設備信息和所在地等等。這讓人們開始擔憂自己的隱私是否過分暴露。紐約總檢察長萊蒂西亞·詹姆斯最近也向Zoom寫信，要求公司提供保護數(shù)據(jù)隱私和安全的詳細資料，稱其“解決安全漏洞的速度一直很慢”，擔心惡意第三方能夠秘密訪問用戶的網(wǎng)絡攝像頭。

除此之外，在單邊主義抬頭的大環(huán)境下，Zoom創(chuàng)始人袁征和公司研發(fā)團隊的中國背景也被放在聚光燈下審視。加拿大多倫多大學C）1tizen Lab 的研究人員披露，Zoom軟件偶爾會將包含加密密鑰的數(shù)據(jù)發(fā)往中國服務器，即使用戶身在北美。他們多次測試后發(fā)現(xiàn)，該軟件使用的AES-1281256密鑰足夠有效，但使用美國還是中國的密鑰服務器似乎沒有規(guī)律。雖然研究人員在安全測試報告中還指出了其他問題，比如會議等待室存在安全漏洞（待修復后披露），也肯定了Zoom的一些加密措施。

Zoom公司首席執(zhí)行官袁征

也正是基于這一問題，多倫多大學的研究人員不建議涉及機密和敏感信息的會議使用Zoom，實現(xiàn)“防患于未然”。對于Zoom來說，如果不做出改變，恐怕還會有更多麻煩找上門來。Zoom公司顯然深知這一點，僅用不到一天的時間就公開回應，稱已經(jīng)修復了這一意外錯誤。官方給出的理由是近兩個月用戶量激增，導致北美服務器承擔了過大壓力，為了緩解壓力額外增配了服務器。

正所謂樹大招風，短時間內(nèi)獲得如此之高的關(guān)注度，谷歌和微軟可能都沒享受過這種待遇。我們也不得不承認，Zoom這一個月真是太難了，一系列問題接踵而至。但歸根結(jié)底，拋開地緣政治問題不談，如果產(chǎn)品品質(zhì)過硬，技術(shù)扎實，邏輯完善，經(jīng)得起推敲和拆解，自然也不會經(jīng)歷這些。對于一家成立9年，市值超300億美元的公司來說，關(guān)于數(shù)據(jù)、隱私和安全的要求并不苛刻。

有一說一，Zoom目前處理問題的態(tài)度可圈可點，經(jīng)常能看到及時發(fā)表的長篇聲明，言辭懇切，整改問題的效率也不低。如果能夠化危機為機會好好把握，經(jīng)歷陣痛未嘗不是一件好事?！拔颐刻炀透杏X好像有某股力量在暗中搗鬼，想要摧毀我們?？墒俏姨α?，根本沒時間想這些陰謀論。”在最近一次接受《華爾街日報》采訪時，CEO袁征坦誠地表示，“我希望在（疫情）之后可以回歸商業(yè)客戶群，但如果我們能吸取教訓，變得更好更強，這一切也許是值得的，只是過程真的太痛苦了?！保ū究C合整理）（編輯/小文）