黑客开价50万抛售0day漏洞，揭Zoom爆红后的安全“多宗罪”

2020-04-17 16:09:20
我要分享


微信扫码分享

大家好，我是零日情报局。

风口浪尖的Zoom，又上新闻头条了。只不过，这次不是曝出漏洞，而是隐蔽的高危漏洞，被黑客开价50万美金全网叫卖。

目前，漏洞详情还未曝光，但卖家已透露利用该漏洞可直接监视Zoom用户视频及呼叫。这就意味着，普通人中招是隐私泄露，政企付费用户中招那就可能是工业间谍活动。

危机二月，Zoom像做着火箭般一飞冲天；转眼三月，频频爆雷深陷安全旋涡；直到四月，才迟迟推出安全措施，但已上了NASA、英国政府、SpaceX等组织机构的安全黑名单。

形势急转直下看似坐过山车，可在零日眼中，Zoom掉入安全雷区的背后，却源自内部长期忽视安全建设、技术实力弱，以及外部遭遇黑客围堵三方面原因。

原因一：长期忽视安全建设

底层安全建设埋雷。Zoom火于当下，却开发于9年前。作为一款专攻云视频会议的软件，Zoom主打的是体验、功能、容量、简单、性价比。看似基于用户需求，且稳扎稳打的耗时9年积累了1000万活跃用户。但这里始终没有强调过安全能力，应用安全、数据安全、通信安全仿佛从不是Zoom考虑的问题。也许，即使没有遇到当下的风口，Zoom安全爆雷也是迟早的事情。

（英国首相使用zoom）

安全隐患早露端倪。就像问题的暴露，不仅是单纯的质变还要有量的积累，2019年活跃用户逼近千万时，Zoom开始曝出数据安全与隐私问题。Mac Zoom Client曝出允许任何恶意网站，可在未经许下启用摄像头的漏洞，或导致全世界75万Zoom企业用户曝光。风波刚过，又紧接着曝出Zoom被黑客监听通话。激起水花不大，却暴露了安全短板。

隐患由来已久，安全管理上也存在问题。参照苹果、谷歌、微软这些巨头，曝出漏洞后常常第一时间修复，少有Zoom这样迟缓的安全响应机制。19年3月，安全厂商向Zoom上报了两个安全漏洞。而Zoom的响应速度是，先花10天时间确认漏洞，再用长达2个半月时间，直到6月才开始修复漏洞，期间Zoom就这样“带洞裸奔”。

Zoom凭风而起，用户激增安全问题却依旧按部就班。数据泄露、BombingZoom……3月Zoom安全问题刷屏，但直到4月1日愚人节，Zoom创始人才正式在官网发布告用户书，不过期待安全解决方案的人要失望了。针对一系列安全问题，Zoom给出了相应的解决办法，是宣布暂停更新，集中工程师解决安全问题，但时间周期是90天。

咱们中国有句话叫德不配位，说的是德行无法匹配地位，而Zoom从头到尾对安全问题的忽视，以及拖沓的步调，正是做着超出自己安全能力边界的事情。

原因二：技术弱是原罪

表面来看是Zoom忽视安全，深究则与Zoom安全技术存在短板脱不开关系。

从设计逻辑到技术的全角度安全问题。将用户数据发送到Facebook，允许虚拟会议主持人追踪参会者资料，陌生人利用截获会议编号或链接，侵入视频会议，恶作剧甚至发布仇恨言论、不雅图片，以及的云存储空间一次性泄露的15000会议视频……Zoom一再刷新着我们对安全底线的认知。

虚假的隐私保密技术。端到端加密是被认为最私密的互联网通信方式，而宣称使用端到端加密的Zoom，却言过其实。The Citizen Lab报告证实，Zoom实际上只在ECB模式下使用了简单的AES-128密钥。换句话说，Zoom这个“邮差”能看视频“信件”的内容，而且“接头暗号”太过简单，难以保证用户通信安全。

不靠谱的代码开源预备案。3月，Zoom创始人公开表示，如果安全问题不解决，会考虑开源Zoom代码。从理论上来说闭源代码开源，是件可能触及商业模式的问题。但从安全问题上来看，却透着一丝“甩锅”的嫌疑。既然我自己没法解决安全问题，那就代码开源，企业用户自己动手吧。显然，这并不是补齐安全技术短板的最优解。

从开发、建设到解决问题的能力，Zoom一直在暴露自身安全技术不足。安全技术差不丢人，但一边收费一边无法保证2亿月活用户的安全需求，就是错。

原因三：走热成黑客围堵目标

内部存在安全短板，并不能最终使其短时间陷入安全旋涡，远程办公、线上社交的大潮下，一方面推动Zoom迎来几何式增长，另一方面也让其成为了各路黑客眼中的肥羊。

遭遇黑客密集火力。安全问题暴露初期，Zoom面对的是黑客倒卖平台账号的数据安全问题，而经过一个多月的发展，Zoom已成为黑客五十万美金倒卖应用漏洞的存在。对黑客来说，Zoom成为了盛产漏洞商品的原生土壤，随时让他们做起无本万利的生意。

本季黑客眼里最肥目标。2020年第一季度，Zoom日活增加20倍，从千万飙升至2亿，一跃成为全球第一视频会议软件。而2亿月活用户的背后，是代表着难以估量的公司、学校与机构，这对黑客来说，潜伏Zoom软件中捞到大鱼的可能，远高于其他平台。

遭遇黑客高频行动期。抛开Zoom本身不谈，疫情突袭远程办公成常态的大环境下，安全隐患与频繁的黑客攻击同时到来。从针对普通网友、瞄准医疗机构到盯上政府机构，黑客攻击行动变得高频且密集，Zoom也就迎来了安全大考。

有媒体说这是少年Zoom的烦恼，可往往只有你弱的时候，坏人才最多。安全技术不过关，在黑客眼里也只有那句，“他还是个孩子，我们不能放过他”最为贴切。

风口上的Zoom成败尚早

在风口上，猪也能飞起来！Zoom虽不是猪，却实实在在是起飞后，才彻底暴露了安全的短板。即使Zoom删除了iOS客户端中的FacebookSDK、更新了隐私政策、提出了90天计划……做出一系列安全补救措施，但对2亿+付费用户，以及广大政企用户来说，远没有为了便捷牺牲安全，或是一句空头补救支票等待Zoom的安全升级。