装箱百万奖金,第六届全国工业互联网数据创新应用大赛火热报名中! 了解详情
写点什么

一周曝出 N 个安全问题,风口上的 Zoom 宣布停更 90 天

  • 2020-04-06
  • 本文字数:3355 字

    阅读完需:约 11 分钟

一周曝出N个安全问题,风口上的Zoom宣布停更90天

4 月 2 日,Zoom 创始人兼 CEO 袁征宣布:在接下来的 90 天内将停止 Zoom 的功能更新,转向安全维护和 BUG 修复。据悉,Zoom 会投入资源去识别、定位和解决问题,甚至会邀请第三方参与对软件进行“全面审查”。


据袁征介绍,目前 Zoom 的日活用户数达到了 2 亿,这是构建平台之初没有预计到的规模,因此也带来了没有估量到的安全和隐私问题。


的确,因为新冠肺炎疫情的全球蔓延,使得多个国家和地区的人民不得不选择在家办公或学习,Zoom 也因此得到了巨大的流量和新增用户,根据 Apptopia 的数据,Zoom 的 3 月份活跃用户较去年同期增长了 151%。


Zoom 本该正是处于“高光时刻”,但现在却深陷“安全与隐私”的泥沼。仅仅一周的时间,Zoom 就先后被曝出向 Facebook 发送用户数据、泄露 Windows 登录凭证、未经用户同意通过预加载方式下载应用程序、未按宣传所言采用端到端的加密方式等安全问题,也正是因为这些问题,NASA 和 SpaceX 宣布禁止使用 Zoom。


用户毫不知情,Zoom 就把数据共享给了 Facebook

Motherboard 网站发现,Zoom iOS 应用正在通过“使用 Facebook 登录”功能将数据发送到 Facebook,发送的数据包括手机型号、打开程序的时间、所在时区和城市、使用的电信运营商,甚至还包括了可用于广告定位的标识符。


据悉,Zoom 使用 Facebook SDK 实现的“Facebook 登录”功能,主要是为了给用户提供访问平台的便利方法。但是在调查中发现,即使你不是 Facebook 用户,也会被收集信息。


整个数据共享的过程是这样的:用户下载打开 App 后,Zoom 就会连接到 Facebook 的 Graph API。而这个 Graph API 就是开发者与脸书交流数据的主要方式。


Zoom 表示:“Facebook SDK 功能确实在从用户收集数据,但是收集的数据不包括个人用户信息,而是包含用户设备的数据。”


随后,Zoom 更新了 iOS 应用程序的版本,并改进了 Facebook 登录功能。删除了 Facebook SDK,重置该功能,用户仍然可以通过浏览器使用 Facebook 账户登录 Zoom,但是需要更新到最新版本,该功能才会生效。


Zoom 客户端泄漏 Windows 登录凭证

根据外媒报道,Zoom Windows 客户端很容易受到 NUC 路径注入的攻击,攻击者可能会利用此路径窃取单击链接的用户 Windows 凭证。


据了解,使用 Zoom 发送聊天消息时,发送的所有 URL 都会经过转换,方便其它聊天者点击,并在默认浏览器中打开。安全研究员 @ _g0dmode 发现,Zoom 客户端竟然将 Windows 网络的 UNC 路径也换成了这种可单击的链接。



常规 URL 和 UNC 路径(\evil.server.com\images\cat.jpg)都被转换为可单击的链接


当用户单击 UNC 路径链接时,Windows 会尝试使用 SMB 文件共享协议连接到远程站点,打开远程路径中的 cat.jpg 文件。在默认情况下,Windows 将发送用户的登录名和 NTLM 密码哈希值,在这个阶段,如果是个有经验的攻击者,就可以借助 Hashcat 等免费工具来逆向运算。


安全研究人员 Matthew Hickey 对此进行了实测,并证实不但能在 Zoom 中顺利注入,而且可以借助民用级 GPU 和 CPU 来快速破解。除了能窃取到 Windows 登录凭证,UNC 注入还可以启动本地计算机上的程序,例如 CMD 命令提示符。



16 秒暴力破解简单密码


不过,幸运的是 Windows 会在程序被执行前发出是否允许其运行的提示。但想要真正解决这个问题,Zoom 必须屏蔽部分可单击的链接,停止 Windows 客户端的 UNC 路径转换功能。


APP “自动”安装?Zoom 预安装脚本引争议

3 月 31 日,Twitter 用户 Felix 发文称:“Zoom macOS 安装程序在用户没有同意的情况下,会自动安装,并且还会使用具有高度误导性的标题来获取用户权限,这与 macOS 恶意软件的‘套路’如出一辙。”



据了解,Zoom 会使用预安装脚本,使用捆绑的 7zip 手动解压缩应用程序,如果当前用户在 admin 组中 (不需要 root),则将其安装到 / Applications。随后,Zoom 做出回应,表示采用这种做法的目的是为了减少安装过程的复杂性,因为在 Mac 上安装 Zoom 并不容易,并认同了 Felix 的观点,未来会继续改进。



Felix 对这个解释并不认可,他认为提高可用性不应该牺牲安全性,Zoom 作为被广泛使用的应用程序,这一做法虽然没有恶意,但却极为不妥。


Felix 详细描述了 Zoom macOS 预安装脚本是如何工作的?


首先,Zoom 会使用 pkg 文件(一种安装程序格式,类似于 Windows 的 MSI)在 macOS 上分发客户端,在用户加入 Zoom 的某个会议时,系统会提示用户下载并允许软件。通常情况下,用户是可以在该步骤中进行自定义和确认安装的操作。但是,Zoom 的安装程序则跳过了这些步骤,要求允许“pre-requirement”脚本运行,该脚本通常是在正式安装之前运行,用来检测软件是否与计算机兼容。



需要注意的是,虽然“pre-requirement”脚本在运行之前会提示用户,但提示信息却是“will determine if the software can be installed”,一般来说,用户会点击 Continue,但你不知道这时 Zoom 已经开始安装了。Zoom 安装程序,不仅会执行预安装检查,还会作为脚本的一部分执行整个安装。更骚的操作是,安装程序还附带了一个捆绑版本的 7zip,可以解压缩。


如果用户是 admin,那么脚本会将提取到的客户端直接复制到 /Applications 目录中,并进行一些清理工作,就完成安装;如果用户没有权限写入 /Applications,且尚未安装 Zoom 客户端,那么,将会被复制到本地应用程序目录 /Users//Applications;如果用户已经在 /Applications 中安装 Zoom,但没有权限更新,那么该脚本会启动“ zoomAutenticationTool”辅助工具(同样被打包在 pkg 文件中),该工具使用已废弃的 AuthorizationExecuteWithPrivileges() 系统 API 来显示密码提示,以便运行具有 root 权限的“runwithroot”脚本。


所谓的端到端加密是“谎言”?

全球疫情的发展,使得很多企业不得不选择远程办公的方式,这时远程办公和协作工具的加密问题就显得尤为重要。


近日,有外媒报道 Zoom 在安全白皮书中提到了其支持端到端加密,但实际并没有为所有视频会议提供此类加密方式,存在误导用户的嫌疑。


随后,Zoom 发言人表示目前不可能为视频会议提供端到端加密。但否认了“误导用户”的说法,并称白皮书中的“端到端”指的是 Zoom 到 Zoom 之间的连接。


据了解,Zoom 目前使用的是 TLS 加密,即 Zoom 服务器到用户个人之间的传输是处于加密状态的。而端到端加密是指在设备之间对所有通信进行加密,从而使托管服务的组织也无法访问聊天的内容。如果是 TLS 加密,Zoom 可以拦截解密视频、聊天和其他数据。


值得注意的是,英国首相鲍里斯·约翰逊(Boris Johnson)周二在 Twitter 上分享了“the first ever digital Cabinet”的屏幕截图,图片显示多位官员在使用 Zoom 进行视频会议。这也引发了大家对于 Zoom 安全性的讨论。



安全问题频出,NASA 与 SpaceX 宣布禁用 Zoom

3 月 28 日,SpaceX 给员工发布了一封电子邮件,要求员工停止使用 Zoom,“我们知道有很多员工在使用 Zoom 进行视频会议,现在请你们使用电子邮件、短信以及电话来代替 Zoom。”


据了解,SpaceX 禁用 Zoom 的原因是其存在着“严重的隐私和安全性问题”。美国了联邦调查局(FBI)在本周一也发布了一则关于 Zoom 的警告,提醒用户不要在该网站上进行公开会议或广泛分享链接。


值得关注的是,除了 SpaceX,该公司最大的客户之一美国国家航空航天局(NASA)也宣布禁止员工使用 Zoom。


被盯上了?伪装成 Zoom 的钓鱼网站分发恶意软件

“人怕出名猪怕壮”,“流量担当”的 Zoom 不止自己问题频出,还被某些有心人士“盯上”了。近日,有网络犯罪分子通过注册虚假的“Zoom”域名和恶意的“Zoom”可执行文件来诱导用户下载恶意软件。


根据 Check Point Research 最新发布的一项报告,自新冠病毒流行以来,已经注册了 1700 多个新的“Zoom”域名,其中 25% 的域名是在过去的 7 天中注册的。



此外,研究人员还检测到“ zoom-us-zoom _ ############.exe”和“ microsoft-teams_V#mu#D_##########.exe”恶意文件,其中#代表各种数字。这类恶意软件会在用户的计算机中安装 InstallCore PUA,从而导致其他恶意软件的捆绑安装。


当然,Zoom 并不是攻击者的唯一目标,随着疫情的发展,各个国家和地区都开始鼓励学生在线学习,因此在线学习平台也成为了攻击目标,研究人员发现了伪装成合法 Google Classroom 的钓鱼网站,例如 googloclassroom \ .com 和 googieclassroom \ .com,来诱导用户下载恶意软件。


2020-04-06 22:075141
用户头像

发布了 497 篇内容, 共 273.9 次阅读, 收获喜欢 1817 次。

关注

评论

发布
暂无评论
发现更多内容

如何做决策?

石云升

决策 28天写作 职场经验 管理经验 4月日更

区块链走红 江苏多行业应用迈入"可信时代"

CECBC

农产品

JavaScript 图片转文字,文字转语音

空城机

JavaScript 大前端 4月日更 tesseract 图片转文字

强化学习—DQN:不讲前世,就论今生

打工人!

深度学习 强化学习 深度强化学习 图解源码分析 DQN

零基础学Tableau系列 | 04—标靶图、甘特图、瀑布图

不温卜火

数据可视化 数据清洗 4月日更

架构实战营 - 模块一作业

凯迪

架构实战营

模块一,学习总结

俞立夫

架构实战营

架构实战营-模块1-作业

笑春风

架构实战营

[架构实战营][0期]模块1作业

张民

架构实战营

区块链:颠覆其外,守旧其中

CECBC

互联网

没有lrzsz,怎么传文件到服务器?

运维研习社

运维 工具

【极客大学】模块一作业

冬天的树

华仔训练营第一次作业

方堃

架构实战营 模块 1 课后作业

eoeoeo

架构实战营

算法训练营 - 学习笔记 - 第一周

心在飞

配置中的动态代码

顿晓

配置化开发 Function 4月日更 动态函数

Linux awk命令

一个大红包

4月日更

博客主题用腻了?来试试赛博朋克 2077 主题吧!

清秋

CMS Hexo 博客 4月日更

第13周课后练习-数据应用(二)

潘涛

架构师训练营 4 期

Redis数据结构zset详解:范围查找

程序员架构进阶

redis 源码分析 Zset 28天写作 4月日更

聪明人的训练(四)

Changing Lin

4月日更

区块链开发主流语言和核心优势

CECBC

区块链

3.4 Go语言从入门到精通:包管理工具之Go module

xcbeyond

go modules Go 语言 4月日更

sql执行顺序优化

大数据技术指南

sql 4月日更

模块一作业

Presley

外网访问Ubuntu下的Tomcat

U+2647

tomcat ubuntu 4月日更

Hadoop 3.x 版本相对于 Hadoop 2.x的新特性

五分钟学大数据

hadoop 4月日更

第一课作业

杰语

架构实战营-模块一作业

俞立夫

架构实战营

8x Flow 业务建模法(二):再看什么是业务逻辑

胡皓

领域驱动设计 DDD 业务建模 8xFlow 业务逻辑

像智能手机一样造车,可能吗?

脑极体

一周曝出N个安全问题,风口上的Zoom宣布停更90天_运维_田晓旭_InfoQ精选文章