Zoom曝出重大安全漏洞！隐私丑闻！NASA 都已禁用！

从在会议中播放色情内容的“Zoom 轰炸”，到偷偷向 Facebook 发送用户数据，视频会议软件 Zoom 的隐私丑闻还在继续。据多个外媒报道，安全研究员 Patrick Jackson 近日在亚马逊云计算平台（AWS）上发现了 15000 个公开的 Zoom 会议视频，内容包括医疗会议、商务会议、小学课堂等。对此，Zoom 解释称是会议发起人录制下载视频后再上传到其他平台。尽管上传者是会议发起人，但 Zoom 的文件命名方式单一，也是这些视频很容易被检索到进而被泄露的原因之一。

会议视频泄露 命名方式单一成漏洞

在2018年11月，发现了一个安全漏洞允许未经身份验证的远程攻击者通过欺骗来自会议参加者或Zoom服务器的UDP消息来调用目标客户端中的功能。 这将使攻击者可以将参加者从会议中删除，欺骗用户的消息或劫持共享屏幕。

2019年7月，安全研究员Jonathan Leitschuh发现零日漏洞，该漏洞允许任何网站在未经用户许可的情况下，在激活其摄像机的情况下，将macOS用户强行加入到Zoom调用。

南都记者了解到，Zoom 是目前占有美国最大市场份额的视频会议软件。它支持远程视频会议，并允许会议发起人进行会议录制。值得注意的是，会议发起人录制视频时，无需获得参会者的同意，仅会向参会者发送录制开始的提醒。这也导致 Zoom 会议视频被公开后，很多当事人看到自己的脸、声音和个人信息感到很惊讶，因为他们当时根本没有意识到被录下来了。录制完成后，会议发起人可以选择把视频存在本地或上传 Zoom 服务器。不过，也有人会选择再把视频上传到 AWS 这种第三方云平台上，且不设置密码。

据《华盛顿邮报》报道，Jackson 通过“一个简单的在线搜索”，就找到了 15000 个完全公开的 Zoom 会议视频。“很多视频都被保存在单独的、没有密码的线上存储空间里”，他说，因为 Zoom 对视频的命名非常单一，所以他很容易地找到了大量视频，而且任何人都能下载观看。不过，《华盛顿邮报》并没有公开 Zoom 对会议视频的命名方式。据报道，还有数千个视频被上传到了 YouTube、Vimeo 等视频网站，内容包括含有公司财务报表、员工姓名电话的企业会议，甚至还有私人亲密对话。多名专家表示，尽管上传者需要为 Zoom 视频泄露负责，但此次事件中，Zoom 对视频文件的命名方式单一也暴露了其用户隐私保护机制存在的漏洞。

Zoom 隐私丑闻频发 遭 NASA 禁用

Zoom因其数据收集方式而受到批评，其中包括其收集和存储“云记录，即时消息，文件，白板中包含的内容”的权利，以及使雇主能够远程监控工人的权利。根据Guardian的Will Strafach所说，Zoom将用户数据发送到Facebook。英国国防部禁止使用它。

针对此事，Zoom 回应称，当会议发起人选择录制会议时，Zoom 会通知参会者，并提供一种安全可靠的方式来存储录制内容。“如果之后需要上传到其他平台，我们会敦促他们格外谨慎，告知参会者，并仔细考虑是否包含敏感信息，是否符合参与者的合理期望。”南都记者了解到，此前 Zoom 在个人隐私保护方面就遭受过不少质疑。去年七月，Zoom 曾被曝任意网站都可以在不申请授权的情况下触发苹果电脑开启摄像头；今年以来，又连续被发现可能被黑客监听通话、会议发起人可以监控参会者的 Zoom 窗口是否打开等漏洞。最近一次，科技媒体《Motherboard》称，在 iOS 系统下载或打开 Zoom App 时，App 会向 Facebook 发送用户数据。接着，Zoom 又被曝出错误地声称 App 能够做到“端到端加密”。面对 Zoom 层出不穷的隐私问题，截至目前，马斯克旗下的 SpaceX 公司与其最大的客户之一——美国太空总署（NASA）都已禁用 Zoom，包括纽约在内的多个学校也不再使用 Zoom 上网课。

据悉，台湾也已经禁止政府机构使用 Zoom。在 4 月 1 日的一封公开信中，Zoom CEO 袁征公开致歉。他提到，尽管公司“整日不间断工作”以支持涌入的新用户，但“仍未达到对用户们（以及我们自己）对隐私和安全性的期望”。他表示，Zoom 在即日起 90 天内将暂停功能开发，以便工程师专注于安全性和隐私保护方面的技术改进。期间，还将进行第三方安全审核和渗透测试，扩大赏金计划，并针对政府和执法机构的要求撰写透明度报告。