Zoom漏洞暴露用户隐私安全问题

全球公司和用户受到Zoom会议软件漏洞的影响，该漏洞可能允许威胁行为者在无需交互的情况下强制加入视频通话。

漏洞详情

Zoom在披露一个可能允许威胁行为者使用视频会议软件监视用户的漏洞后面临隐私担忧。

该漏洞最初被报告仅影响Mac版软件，后来发现也部分影响Windows和Linux系统。开源项目Gradle的软件工程师Jonathan Leitschuh在本周早些时候的一篇博客文章中披露了Zoom漏洞，并表示它"允许任何网站在未经用户许可的情况下，强制将用户加入Zoom通话并激活其摄像头"。

Leitschuh补充道：“除此之外，此漏洞还允许任何网页通过重复将用户加入无效通话来对Mac进行拒绝服务攻击。另外，如果您曾经安装过Zoom客户端然后卸载它，您的机器上仍然有一个本地主机Web服务器，它会在您访问网页时自动重新安装Zoom客户端，无需任何用户交互。”

响应与修复

根据Leitschuh的说法，Zoom花了10天时间确认该漏洞。在6月11日的一次会议中，他告诉Zoom存在绕过计划修复的方法，但Zoom在近两周后报告漏洞已修复时没有解决这些担忧。该漏洞于7月7日重新出现，Leitschuh于7月8日披露，Zoom于7月9日修补了Mac客户端。Zoom还与Apple合作，于7月10日发布了Mac用户的静默后台更新，从系统中删除了Zoom本地主机。

Leitschuh写道：“最终，Zoom未能快速确认报告的漏洞确实存在，也未能及时向客户提供问题修复。具有这种规模和庞大用户基础的组织应该更主动地保护用户免受攻击。”

公司回应

Zoom——其视频会议软件被全球约75万家公司的400多万用户使用——淡化了问题的严重性，并反驳了Leitschuh对公司的描述。

Zoom首席信息安全官Richard Farley在公司回应中写道：“一旦问题引起我们安全团队的注意，我们在十分钟内做出响应，收集了更多详细信息，并进行了风险评估。我们确定拒绝服务问题和加入会议时开启摄像头的问题都是低风险，因为在拒绝服务的情况下，没有用户信息面临风险，而在加入会议的情况下，用户有能力选择他们的摄像头设置。”

Farley补充说：“需要明确的是，主持人或任何其他参与者无法覆盖用户的视频和音频设置，例如打开他们的摄像头。”

跨平台影响

披露和Zoom的回应都将问题描述为仅影响Mac客户端，但CGI的Python开发人员Alex Willmer在Twitter上写道，Zoom漏洞也影响Windows和Linux。

Willmer发推文说：“特别是，如果zoommtg://在Firefox中注册为协议处理程序，那么[Zoom]会在没有任何点击的情况下将我加入通话。需要明确的是，我和一位同事在Firefox和Chromium/Chrome上看到了自动加入/自动网络摄像头/自动麦克风行为；在Linux和Windows上。我们在Linux上的19421端口没有找到任何Web服务器。我们没有检查Windows上的Web服务器。”

Leitschuh确认了Willmer的发现，但尚不清楚Zoom是否正在修复这些平台客户端。Leitschuh还在他的披露中指出，该问题影响授权给VoIP提供商RingCentral的Zoom白标版本。尚不清楚RingCentral是否已打补丁。

安全与易用性的权衡

Unisys首席信任官Tom Patterson表示，安全性和易用性之间的权衡"并不总是公平的交易"。

Patterson告诉SearchSecurity：“卸载任何应用程序都不会完全卸载所有组件，这与建立信任背道而驰。在这种情况下，这是制造商做出的架构决策，似乎旨在使用户操作更加容易。这种在使其简单和使其安全之间的信任权衡是每个消费者都应该考虑的事情。”