🙇🏻 💳 🦇 安全周15：放大真实和虚构漏洞 👩‍🚀 👎 🃏

4月2日，星期四，《卫报》在Zoom的网络会议平台上分享了令人印象深刻的数字：访问量增加了535％。毫无疑问，Zoom比竞争对手能够利用这种情况要好得多；如果没有钱，Zoom就能获得增长，然后在人气和用户数量上也能获得增长。取得成功的原因是有效的营销（例如，提供免费关税选项），而不是某些技术优势。如果不是因为《卫报》上同一篇文章的典型标题，一切都会很好：“缩放是恶意软件。”

让我们直接说：缩放不是恶意软件。在大肆宣传之后，这并不是公司第一次吸引信息安全专家的注意，但是上周有关Zoom缺陷的讨论是整个聚会的主要娱乐内容。简而言之：缩放加密是可以协商的，但是不够强大，并且肯定不能被认为是端到端的。在该软件中发现了几个严重的漏洞。该服务的几个功能引发了有关隐私的问题-数据通过中国的服务器传递并与LinkedIn集成。没什么可怕的，但是再次清楚的是，数字服务的安全性仍然不是其成功的关键。

让我们从愚人节（但不是漫画）文章开始回顾Editions Vice：它讨论导致联系泄漏的错误，通常，这是经常发生的功能。最初，Zoom和进行电话会议的任何其他方式都严格地针对公司：没有人期望他们会在线上开始卡拉OK派对。 Zoom具有一个名为“公司目录”的实体：使用工作邮件注册后，将自动显示同一域上的所有联系人。如果使用个人邮件，则可以访问大量的普通用户，并且您可以使用您的全名和邮寄地址。对于流行的邮件服务（例如GMail或Yahoo），此方法不起作用，但是，例如，如果您的个人邮件是在本地Internet提供商的域上设置的，则在联系人列表中将看到数百个“同事”。

我们走得更远。在上一期杂志中，我们报道了Zoom将用户遥测发送到Facebook，但是在公众的压力下，它停止了这样做。 3月31日，Zoom 在美国被起诉，因为它违反了最近通过的《加利福尼亚数据隐私法》。据称，该服务没有通知用户有关其处理方式和向何处发送信息的信息。

4月2日，《纽约时报》报道Facebook不仅限于此。 Zoom还与LinkedIn集成在一起，从而使电话会议的组织者（使用LinkedIn Sales Navigator付费软件包）可以通过邮政地址自动在LinkedIn上查找呼叫者资料。这听起来令人生畏，但实际上，它是传统的营销工具，在Zoom公司与公司客户一起担任销售经理时就足够了。当举行大型网络研讨会时，这确实看起来像是在违反隐私标准：几乎无数新的Zoom用户都不知道这种功能。但是，即使在EULA中对其进行了详细说明，我们也很少意识到任何数字服务中的分析规模。该功能已迅速从服务中删除。

更糟的是。3月30日，著名安全专家Patrick Wardle撰写文章具有特征名称“在Zoom中，字母B代表安全性。”他在MacOS的Zoom客户端中发现了两个中等危险的漏洞。非标准客户端安装方法允许具有残疾的本地用户获得root特权。根据研究人员的说法，Zoom使用不再建议使用的AuthorizationExecuteWithPrivileges API来最大程度地减少安装过程中的用户输入。结果，不检查以超级用户权限启动的可执行文件（安装程序），并且可以轻松地用任何其他代码替换它。第二个漏洞也是由规避在Zoom客户端中为MacOS X编写安全软件的标准做法造成的，其结果是有可能从网络摄像头和麦克风捕获图像和声音。再次，提供那台计算机是受害者已经妥协了。“如果您的计算机被黑，那么您可以在它上做任何事情。” 这两个漏洞都已于4月2日关闭。

在每个此类出版物中，Zoom都回想起过去的过错：网络服务器与客户端一起安装在macOS上，并且在卸载期间并未删除（Apple必须发布补丁以强制删除服务器，因为它很容易受到攻击），并且包含网络-连接到网络会议时的默认摄像头，以及后来发现的吸引用户的机制。这些问题早已得到解决，但已成为诸如“ Zoom总是在隐私方面存在所有弊端”之类的陈述之际。

BleepingComputer网站报告Windows的Zoom客户端中的漏洞。用户可以在服务聊天中交换链接，并且Zoom客户端有望使链接可点击，包括指向网络文件夹甚至本地文件的链接，即所谓的UNC。从理论上讲，您可以想象将公共文件服务器的链接发送给聊天的情况。当您单击默认设置的服务器时，Windows将收到一个用户名并对其密码进行哈希处理。

您可以进一步想象一下链接将导致代码在用户计算机上执行的情况。在实践中，对于Zoom本身而言，在当前非标准条件下进行攻击是可行的：当公开电话会议的安全性配置不佳且听众无法理解时。

让我们继续发展重型火炮。CitizenLab已发布了详细的Zoom安全报告。它描述了服务的主观“功能”：在中国的发展（尽管该公司是美国公司）；即使订户不在，也无法将数据发送到中文服务器（后来Zoom将此视为技术错误）。但是该研究的主要主题是协商加密，Zoom长期以来一直将其称为端到端。首先，它不是完全跨领域的，因为密钥是在Zoom服务器上生成的。其次，不是在文档中最初指定的AES-256加密算法，而是在ECB模式下使用AES-128 。

与古老的密码本加密方法相比，这种更简单的加密方法可以保留原始未加密数据的模式。最好在上面的推文中或在下面的Wikipedia中的图片中对此进行最好的说明：尽管数据是加密的，但即使没有解密，您也可以对视频流的内容有所了解。

通常，很明显，为什么安全专家不喜欢Zoom：过去您在用户计算机上的行为（在Apple计算机上无法删除的Web服务器）上会遇到问题，并且缺乏有关使用个人数据的可理解信息，并且由于误导而导致的防御不完善描述。主要抱怨：用户隐私不是Zoom开发人员的首要任务，而是在“任务列表”的前一百个结尾处。没有发现真正可怕的事情（例如没有加密的数据传输）。

在讨论所有此类“研究”时，还会提出反对“现在我们将向他们展示”方法的论点，这有点歇斯底里。有独立的研究人员与供应商互动的标准方法，以及披露漏洞信息的道德规范。为什么在病毒性（而非计算机）流行病的情况下需要采取不同的措施？相反，也许值得增加供应商反应的等待时间？坦率地说，因为任何数字服务提供商现在都首先担心服务器可以承受用户的涌入。最后，过去一周的发现之一并没有改变对Zoom和类似服务的态度。对于卡拉OK派对，它们也非常适合公司对话，尽管值得对员工进行基本安全标准方面的培训。好吧，例如，从官方站点而不是从任何地方下载客户端。要就机密事宜进行敏感的谈判，您需要通过强制性安全审核来寻找一项服务（或自行筹集），而不要在Google搜索中单击第一个链接。

顺便说一句，供应商的反应非常充分：4月1日，该公司宣布将暂停新功能的开发三个月，并将密切关注错误修复和安全性。

还有什么事

出版物Threatpost 总结了该网站上有关大流行性隐私的调查结果。 25％的受访者准备优先考虑健康，但会牺牲隐私（例如，共享医疗数据）。这就是听众中的一员，传统上，他们对个人数据的任何尝试都很敏感。Firefox和Chrome

浏览器中的漏洞已关闭。 Firefox修补了可能执行任意代码的严重问题，这些代码在实际攻击中得到了积极使用。代表互联网公司（Akamai，AWS，Cloudflare，Facebook）合并

以提高网络流量的安全性和纠正BGP路由协议的缺陷为名，BGP路由协议的缺陷先前反复导致“流量劫持”-通过任意网络网关意外或故意重定向数据包。

在WordPress 插件 Rank Math SEO-optimizer中发现了一个新错误。您可以远程任命在站点上注册的任何用户为管理员，也可以剥夺实际管理员的权限。

美国航空监察局（FAA）发出了一项指令，要求航空公司至少每51天重置一次波音787的控制系统。原因很可能与航空中的其他类似情况相同，不仅是：计时器溢出。

安全周15：放大真实和虚构漏洞

还有什么事

More articles: