Zoom漏洞揭露用户隐私问题

全球范围内的公司和用户受到Zoom会议软件漏洞的影响，该漏洞可能允许威胁参与者无需交互即可强制加入视频通话。

Zoom在披露一个漏洞后面临隐私担忧，该漏洞可能允许威胁参与者使用视频会议软件监视用户。

最初报告仅影响Mac版软件的Zoom漏洞，现已发现部分影响Windows和Linux。开源项目Gradle的软件工程师Jonathan Leitschuh在本周初的一篇博客文章中披露了Zoom漏洞，并表示它“允许任何网站在未经用户许可的情况下，强制将用户加入Zoom通话并激活其摄像头”。

Leitschuh补充道：“除此之外，此漏洞还允许任何网页通过反复将用户加入无效通话来对Mac进行拒绝服务（DOS）攻击。此外，如果您曾经安装过Zoom客户端然后卸载它，您的机器上仍然有一个本地主机Web服务器，它会乐意为您重新安装Zoom客户端，除了访问网页外，无需任何用户交互。”

据Leitschuh称，Zoom花了10天时间确认该漏洞，并在6月11日的一次会议中，他告诉Zoom有一种方法可以绕过计划的修复，但Zoom在近两周后报告漏洞已修复时并未解决这些担忧。Zoom漏洞于7月7日重新出现，Leitschuh于7月8日披露，Zoom于7月9日修补了Mac客户端。Zoom还与Apple合作，于7月10日发布了Mac用户的静默后台更新，从系统中删除了Zoom本地主机。

Leitschuh写道：“最终，Zoom未能快速确认报告的漏洞确实存在，也未能及时向客户提供修复程序。具有这种规模和如此庞大用户基础的组织本应更主动地保护用户免受攻击。”

Zoom——其视频会议软件被全球约75万家公司的超过400万用户使用——淡化了问题的严重性，并反驳了Leitschuh对公司的描述。

Zoom首席信息安全官Richard Farley在公司回应中写道：“一旦问题引起我们安全团队的注意，我们在十分钟内做出响应，收集了更多细节，并进行了风险评估。我们的确定是，DOS问题和加入会议时摄像头开启的担忧都是低风险的，因为在DOS的情况下，没有用户信息面临风险，而在加入会议的情况下，用户有能力选择其摄像头设置。”

Farley补充道：“明确地说，主持人或其他参与者无法覆盖用户的视频和音频设置，例如打开他们的摄像头。”

Zoom的披露和回应都将问题描述为仅影响Mac客户端，但CGI的Python开发人员Alex Willmer在Twitter上写道，Zoom漏洞也影响Windows和Linux。

Willmer发推文说：“特别是，如果zoommtg://在Firefox中注册为协议处理程序，那么[Zoom]会在没有任何点击的情况下将我加入通话。明确地说，我和一位同事在Firefox和Chromium/Chrome上看到了自动加入/自动摄像头/自动麦克风的行为；在Linux和Windows上。我们在Linux上没有发现端口19421上的任何Web服务器。我们没有检查Windows上的Web服务器。”

Leitschuh确认了Willmer的发现，但尚不清楚Zoom是否正在修复这些平台客户端。Leitschuh还在披露中指出，该问题影响授权给VoIP提供商RingCentral的Zoom白标版本。尚不清楚RingCentral是否已修补。

Leitschuh通过Twitter DM告诉SearchSecurity：“Zoom认为Windows/Linux漏洞应由浏览器供应商修复，”但他不同意。

Unisys首席信任官Tom Patterson表示，安全性和易用性之间的权衡“并不总是公平的交易”。

Patterson告诉SearchSecurity：“卸载任何应用程序并不能完全卸载所有组件的事实与建立信任背道而驰。在这种情况下，这是制造商做出的架构决策，似乎旨在使用户操作更加容易。这种在易用性和安全性之间的信任权衡是每个消费者都应该考虑的。”