2020年4月4日星期六

Zoom创始人公开道歉承诺修补安全漏洞




A computer screen with four faces on it图片版权ZOOM
在全球用户提出批评后,通讯软体Zoom宣布暂停任何新功能的开发,以专注于安全和隐私问题。
这个视频会议应用程序的首席执行官袁征(Eric Yuan) 在博客中对安全问题“无法达到标准”致歉,并承诺将解决这些问题。
他说,在冠状病毒大流行之前,他没有预测到Zoom的使用者会以前所未有的方式暴增。
一位安全专家说,他希望这家公司文化会因此改变。
由于在许多国家都因为病毒关闭边界,Zoom现已被数百万人用于工作和休闲上。
袁征坦承Zoom的使用者是一夜之间暴增。他说:截至2019年12月底,包含免费和付费的使用者,Zoom虚拟会议人数最多的一日使用者曾经达1000万人。但今年3月,我们曾有一天超过2亿使用者的纪录。
他承认,尽管公司“整日不间断工作”以支持涌入的新用户,但该服务“仍未达到对使用社群(以及我们自己)对隐私和安全性之期望”。
“为此,我深感抱歉。”袁征写道。他解释,“我们当初设计产品时,并未预设在短短几周内,全世界每个人都会突然在家工作,学习和社交。”
我们现在拥有广泛的用户群体,以各种意想不到的方式使用我们的产品,从而给我们带来了设计这个产品时没有想到的各种挑战,” 袁征补充。
Zoom因一连串隐私问题遭致批评,包括将用户数据发送到Facebook,错误地声称该应用程序具有“端到端加密”以及允许虚拟会议主持人追踪到参与会者的资料(譬如IP等)。
Eric Yuan图片版权ZOOM
Image caption创始人袁征坦承Zoom的使用者是一夜之间暴增。
前国家安全局(NSA)骇客沃德(Patrick Wardle)发现了Zoom的一系列问题,其中包括一个资讯安全漏洞,该漏洞让使用苹果电脑(Mac)的用户,在使用该软体时,电脑网络摄像头和麦克风更容易被骇客入侵。网路安全顾问格雷厄姆·克鲁利(Graham Cluley)称,Zoom现在面临“危机”。
“由于Zoom对处理安全和隐私问题不够完善的态度已经传开了,它有可能失去已经累积的众多好感。” 他说。
他又表示Zoom正在解决一些“严重的漏洞”,并认识到有必要将重点放在资讯安全上,而不是继续“制造麻烦”。
他补充说:“我们希望该公司文化会因为这次事件,一改之前的‘快速和轻松’的态度。”

“Zoom轰炸”

Zoom开始拥有海量使用者,也创造了一种新的“ zoombombing” (zoom 轰炸)现象。
这种现象是指不被邀请的不速之客突然加入视频会议,通常不是大声叫嚣,就是分享色情内容或发表种族主义言论。
恶作剧者可以通过社交媒体平台或网站上公开共享的视讯会议链接,找到视讯会议的详细信息。或者在某些情况下,只需猜测九位数的ID码即可找到会议的细节。
但是,如果这些会议使用保护过的会议密码,或不允许主持人以外的任何人进行分享视频,就可以防止攻击。
袁征于2011年在美国创立了Zoom,他说现在该公司为解决安全疑虑而采取的步骤如下:
  • 对加密方法进行说明 
  • 删除从iOS应用到脸书的共享代码 
  • 发布与Mac相关问题的修复程序 
  • 删除与领英网站(LinkedIn)之连接,以防止不必要的数据泄露 
  • 发布如何避免成为“zoom轰炸”受害者的说明 
在接下来的90天内,该公司又计划:
  • 暂时冻结新功能开发,以专注于安全和隐私 
  • 与独立专家进行审查,以了解新客户所需的新安全功能 
  • 编写有关数据请求的透明度报告 
  • 扩大其“漏洞赏金”计划 
  • 每周举行一次网络研讨会,以提供隐私和资讯安全更新 
趋势科技( Trend Micro)资讯安全研究部门副总裁弗格森(Rik Ferguson)对该公司所做的更改表示欢迎。他说:“所有的问题都被提到了:从配置和宽松的程式预设装置,软件漏洞,公司策略和产品路线图的决定,这些在Zoom的博客文章中都痛苦的披露。”
“大家应该对一个公司感到同情:Zoom是在疫情大流行期间率先提供免费服务的组织之一,然后发现自己不仅是决策不力的受害者,而且是自身产品成功的受害者。”

高风险

英国一直有关于政府是否应使用Zoom召开内阁会议的辩论。
政府证明其在“前所未有的时期”使用Zoom是合理的,因为当时一些政府官员是在家自我隔离,而在家中无法获得更安全的技术支援。
但是,当英国首相约翰逊(Boris Johnson)发了一张推文,其中照片披露他最近一次会议的会应认证编号时,关于Zoom安全性的辩论就愈演愈烈。
另外,根据报道,出于安全考虑,马斯克(Elon Musk)旗下的SpaceX公司已经禁止用Zoom召开会议。 美国太空总署(NASA)是Space X的最大客户之一,也同样禁止员工在工作上使用Zoom。
克鲁利解释,任何使用Zoom进行敏感对话的人都必须小心。
“解决这些问题将需要时间。而且,对于那些特别高风险的Zoom用户,他们的讨论常常牵涉高敏感议题。这些用户(譬如英国内阁)也可能成为其他国家发起网路攻击的目标。因此,现在开始寻找更安全的通讯方式是比较明智的做法。”
文章来源:BBC

没有评论:

发表评论

注意:只有此博客的成员才能发布评论。