Zoom漏洞揭示用户隐私问题

全球企业和用户受到Zoom视频会议软件漏洞的影响，该漏洞可能允许威胁行为者在无需交互的情况下强制加入视频通话。

漏洞详情

开源项目Gradle的软件工程师Jonathan Leitschuh在本周初的博客文章中披露了Zoom漏洞，并表示该漏洞"允许任何网站在未经用户许可的情况下，强制开启用户摄像头将其加入Zoom通话"。

Leitschuh补充道：“更重要的是，此漏洞还允许任何网页通过重复将用户加入无效通话来对Mac实施拒绝服务攻击。此外，如果您曾安装过Zoom客户端然后卸载，您的计算机上仍会运行本地Web服务器，只需访问网页即可自动重新安装Zoom客户端，无需任何用户交互。”

响应时间线

据Leitschuh称，Zoom花费了10天时间确认该漏洞。在6月11日的会议中，他告知Zoom存在绕过计划修复的方法，但Zoom在近两周后报告漏洞修复时并未解决这些问题。该漏洞于7月7日重新出现，Leitschuh于7月8日披露，Zoom于7月9日修补了Mac客户端。Zoom还与苹果合作，于7月10日发布了针对Mac用户的静默后台更新，从系统中移除了Zoom本地主机服务器。

Leitschuh写道：“最终，Zoom未能快速确认报告的漏洞确实存在，也未能及时向客户提供修复程序。拥有如此大规模用户基础的组织应该更主动地保护用户免受攻击。”

公司回应

Zoom——其视频会议软件被全球约75万家公司的400多万用户使用——淡化了问题的严重性，并反驳了Leitschuh对公司的描述。

Zoom首席信息安全官Richard Farley在公司回应中写道：“一旦问题引起我们安全团队的注意，我们在十分钟内做出响应，收集了更多详细信息，并进行了风险评估。我们确定DoS问题和带摄像头加入会议的问题都是低风险，因为在DoS情况下，没有用户信息面临风险，而在加入会议的情况下，用户有能力选择他们的摄像头设置。”

Farley补充说：“需要明确的是，主持人或任何其他参与者无法覆盖用户的视频和音频设置，例如打开他们的摄像头。”

跨平台影响

披露和Zoom的回应都将问题描述为仅影响Mac客户端，但CGI的Python开发人员Alex Willmer在Twitter上写道，Zoom漏洞也影响Windows和Linux。

Willmer发推文说：“特别是，如果zoommtg://在Firefox中注册为协议处理程序，那么[Zoom]无需任何点击即可将我加入通话。需要明确的是，我和同事在Firefox和Chromium/Chrome上，在Linux和Windows上都看到了自动加入/自动网络摄像头/自动麦克风行为。我们在Linux上没有发现端口19421上的Web服务器。我们没有检查Windows上的Web服务器。”

Leitschuh确认了Willmer的发现，但尚不清楚Zoom是否正在修复这些平台客户端。Leitschuh还在他的披露中指出，该问题影响了授权给VoIP提供商RingCentral的Zoom白标版本。尚不清楚RingCentral是否已打补丁。

安全与易用性的权衡

Unisys首席信任官Tom Patterson表示，安全性和易用性之间的权衡"并不总是公平的交易"。

Patterson告诉SearchSecurity：“卸载任何应用程序都不会完全卸载所有组件，这一事实与建立信任背道而驰。在这种情况下，这是制造商做出的架构决策，似乎旨在使用户操作更加容易。在使其易于使用和使其安全之间的这种信任权衡，是每个消费者都应该考虑的事情。”