最新zoom漏洞汇总
今年随着COVID-19新冠状病毒在全球范围的大流行,使得越来越多的上班族被迫在家办公,这也使Zoom的视频通话业务蓬勃发展。
但是,成功的传言是短暂的,因为有传言称存在大规模的安全漏洞,使潜在的客户怀疑对软件的投资,而那些已经不愿使用它的人则对此表示怀疑。
那么Zoom的最新安全漏洞是什么,它们真的是真的吗?让我们来看看。
一、Zoom会将您的数据泄漏到Facebook,即使您不使用Facebook
这里发生的是Zooms的“使用Facebook登录”功能泄漏了有关启动该应用程序的手机和平板电脑的基本诊断信息。似乎Zoom开发人员追求使用Facebook的SSO的能力。
尽管他们确实做到了这一点,但他们也无意间获得了跟踪和共享,并返回给Facebook,然后Facebook正在为用户创建一个唯一的ID,这将有助于他们更直接地做广告。但是,Zoom迅速采取了行动,在收到通知后的几天内删除了有问题的功能。
二、可以“监听” Zoom视频会议和通话
这里的根本问题是Zoom不会在视频电话会议中强制实施端到端加密,这确实使它们暴露于能够显示对话内容的外部参与者。如果实施了端到端加密,则将不可能。尽管Zoom声称拥有E2E加密,但它们的版本已被淡化,Zoom本身仍可以解密。真正的端到端加密意味着只有参与呼叫的人员才能透露其内容。对于使用Zoom进行日常对话的人来说,这并不是真正的问题,但对于确实需要这种安全级别的企业和个人来说,这是一个大问题。
但是,对于日常用户和企业而言,这并不是一个大问题,只要证书交换如期进行即可。在这种情况下,与任何HTTPS交互(实际上是相当高的)相比,Zoom上的安全级别仍然保持相当的水平。
但是,许多人仍然认为这是Zoom的一个黑标,因为他们声称拥有E2E加密,这并非完全正确。目前,Zoom正在研究此问题,但是可能需要几个月的时间才能发布任何更新。
三、Zoom向其他用户显示您的密码
关于这一内容的报告表明,Zoom允许黑客通过UNC链接获取您的Windows密码,因为他们很可能将UNC路径链接到可单击的链接中,如果单击该链接,则会将容易破解的密码版本发送到黑客指定的站点。
在本月初,Zoom承诺会解决此问题。但是,请务必注意,想要窃取密码的人必须在通话中才能创建可点击的链接,因此这全取决于您的朋友!四、攻击者使用Zoom在您的设备上安装恶意软件
据透露,有两个漏洞可以利用Zoom制定的某些软件体系结构决策。它们能够颠覆狡猾的恶意软件预安装程序技术,然后以根用户身份启动攻击者想要的任何东西,其次使用Zoom的本地库验证推翻库功能以获取对麦克风和网络摄像头权限的访问权限。Zoom确实发布了一个更新程序来解决这些问题,真正的教训是,不要在设备上运行恶意软件!五、总结
Zoom显然存在安全性问题,但这是因为该软件是如此复杂,并且不幸的是,这使其仅是交易的一部分。在绝大多数情况下,Zoom会尽可能快地响应以创建修复程序,这反映出它认真对待客户的安全性。尽管其他错误和问题可能会随着时间的流逝而出现,但这必须有所作为。
{{collectdata}}
网友评论0