🐷 👩 💧 放大-平庸的过失还是针对性的间谍活动？ 🧒🏽 👏 🙆🏻

在自我隔离期中，著名的美国会议应用程序Zoom在过去一个月中增长了20倍，这是著名的会议应用程序，由于向远程工作和培训的大规模过渡，其流行度已成为关注的焦点，并且Zoom在下载方面已成为美国自信的第一名。。但是，他吸引的注意力并不仅仅是因为用户数量的增加，而是因为与Zoom用户的公司和个人数据大量泄漏到社交网络Facebook有关的丑闻，以及成千上万的个人视频会议记录合并到YouTube和Vimeo上的开放访问。

什么是Zoom？如何运作？

Zoom的主要目的是进行视频会议，该应用程序支持高清质量的视频流，并同时连接多达一百位参与者的对话。此外，用户喜欢此程序，因为它具有共享屏幕和创建聊天的功能，您不仅可以附加各种附件，还可以使用诸如Google Disc和Dropbox之类的流行云服务。另外，该应用程序允许您打开对移动设备屏幕的访问（共享功能）。在额外筹码中，对话期间还具有“举手”功能，可以提出问题。

但是，尽管功能良好，但Zuma在确保用户隐私方面仍然存在很大的问题。因此，该应用程序不支持端到端数据加密，并且由于添加了某些功能而引起了其他严重的安全漏洞。

与会者注意跟踪：我正在关注你

例如，“与会者注意力跟踪”功能可让您计算由于无关紧要的事情而无法分散谈话内容的人。显然，这对公司高管和培训师似乎很有用，但是此功能的缺点更为严重，因为它使用了跟踪追踪器（对所有参与者进行远程监控的脚本），这使程序可以 “绕过浏览器中的安全设置并进行不一致的监控。由用户及其通过网络摄像机进行的操作”，该问题一再向专家提出有关保护个人数据的问题。

在听取了网络安全专家对Attendee Attention Tracking的批评之后，Zoom Video Communications的开发人员决定取消此功能，正如该应用程序网站上报道的那样：“ 2020年4月2日，我们删除了用户注意跟踪功能，以确保客户的安全和隐私” 。

Facebook SDK：扎克伯格敲敲

为了恢复用户的信心，应用程序开发人员必须解决的另一个问题是Zoom会自动将大量数据传输到Facebook，Facebook会分析并使用接收到的信息进行广告宣传：根据DuckDuckGo（反对跟踪的搜索引擎）用户数据），Facebook广告跟踪器位于Internet上所有网站的36％上，在该指标中，它仅次于Google的85％。

Zoom传输了哪些用户数据？首先，输入应用程序的时间，用户的位置以及设备的类型。发送的信息中还包括广告ID，根据ID，与Facebook相关的哪些网站显示了针对用户的广告。

但是Zoom开发人员的麻烦在于，他们的iOS应用程序不仅发送“ Facebook”数据，这些数据不仅与在该社交网络上拥有帐户的用户有关，而且还与那些根本没有在Facebook上注册的用户有关，后者是在用户协议中写的它不是任何形式，也就是说，未经授权的信息传输是显而易见的事实：阅读，间谍活动。

Zoom回应了用户的抱怨，开发人员从其程序中删除了Facebook SDK代码，但美国人开始对这家公司提起大量诉讼，指责该公司违反了本地数据传输法。Zuma的所有者没有考虑到一件简单的事情：仅在更新应用程序之后，Facebook跟踪才被禁用，因此该公司不得不强迫所有客户使用新版本的Zoom。

保密？没有听到

从应用程序中删除与会者注意力跟踪和Facebook SDK是值得赞扬的，尽管这是迟来的Zoom Video Communications计划，但这并不能解决安全问题：事实是Zoom拥有旅行车和小型手推车。

因此，Zoom的隐私权政策明确规定，服务的广告合作伙伴（例如Google Ads和Google Analytics（分析））在用户使用公司产品时会自动收集有关用户的“某些信息”。以及未指定哪种信息。这是计算机安全研究人员之一Doc Searls关于此的文章：

“ Zoom从事广告业务，在最坏的情况下：该公司依靠收集到的用户个人数据为生。但更可怕的是，Zoom可以收集大量的私人，私密数据（例如，医生与患者的对话），而且对话的参与者中没有一个意识到这一事实。”进一步说明：“如果您的浏览器关心隐私（例如Brave，Firefox或Safari），则很可能会阻止广告跟踪器，但是，在Zoom中，您将无法确定是否收集了您的个人数据以及这种情况如何发生” 。

然后专家指出，直到最近，Zoom还是无法拒绝收集有关您的个人数据并将其出售给第三方（这不仅违反了保密性，而且还违反了安全性）：

专家总结说：“ Zoom当前的隐私政策看上去比“您在这里没有任何隐私”还要糟糕，专家总结并给出了Zoom策略的简洁定义：“我们为信息吸血鬼敞开了脖子，他们可以对他们采取任何措施，无论他们想要什么。” （从字面上看：我们会将您的虚拟脖子暴露给可以使用数据吸血鬼做事的数据吸血鬼）。

隐私政策更新

一连串的批评仍然迫使Zoom Video Communications修改其隐私政策，并在3月29日出现了文本的更新版本（https://zoom.us/privacy），该文本在开始时就明确指出：“我们不出售您的个人数据。无论您是公司，教育机构还是个人用户，我们都不会出售您的数据。”

下一个要点：“您的会议只属于您。会议结束后，我们不会跟踪甚至存储它们，除非会议组织者记录并保存它们。”

另一个有趣的事情是：“ Zoom仅收集为您提供Zoom服务所需的用户数据……例如，我们收集诸如用户的IP地址以及有关操作系统和设备的信息……”

最后，“我们不会将您通过使用我们的程序获得的数据用于任何广告。当您访问我们的商业网站（例如zoom.us和zoom.com）时，我们将使用从您那里收到的数据。访问我们的商业网站时，您可以控制自己的cookie设置。”

可能会得出这样的结论：说这些家伙很棒，并向关心互联网安全的每个人推荐更新的Zoom，但是这里有一个细微差别，与众所周知的笑话相反，甚至没有一个。

其他漏洞

Windows用户正在困扰着世界上绝大多数的Windows用户。事实证明，缩放将UNC路径转换为链接，即Windows上文件的路径...。（https://www.bleepingcomputer.com/news/security/zoom-lets-attackers-steal-windows-credentials-run-programs-via-unc-links/）。使用包含图像，音频记录和其他媒体文件的此类链接，黑客将很难破解哈希并获得对Zoom用户凭据的访问权限。该公司已意识到此漏洞，但到目前为止，尚未对应用程序代码进行更正。

早些时候，“ Zoom”在Intercept新闻调查网站上再次受到打击，3月31日该网站上出现了一篇文章，指出Zoom中的视频没有经过适当的加密，该公司本身可以查看其用户的任何交流会话。而且缺乏端到端加密会导致外部人干扰对话的可能性：在2020年，所谓的“ Zoombombing”变得非常流行，当陌生人“开办”各种课程和公司视频会议时，其幽默目的是安排“恶作剧”并将广播变成混乱（包括向整个受众传播色情内容）。很容易猜得出这样的绘制是Zoom用户可能发生的最无害的事情。

Zumovskaya“草莓”和Elon Musk

前几天，美国版的《华盛顿邮报》报道了数千个公共领域的Zoom对话，这些对话已发布在YouTube和Vimeo上。该出版物的记者在观看了这些材料后，报告说，许多“合并”到网络中的对话包含机密信息：姓名，电话号码，工作清单，私营公司的财务报表以及在线课程中突出显示的孩子的个人数据，这些孩子现在被大量保存由于隔离在世界各地。在许多视频中，进行了非常私人的，亲密的交谈，甚至还提供了裸露内容（例如，在一次聊天中进行脱毛训练的老师）。

甚至隐藏的记录也可以在Zuma本身的服务器上查看的事实进一步加剧了这种情况：智能用户可以使用标准编号打开随机视频，Zoom表示其所有材料。同时，《华盛顿邮报》记者设法与视频中出现的许多受害者说，他们甚至都没有想到如何公开进行私人对话。

甚至在视频“泄漏”到网络的丑闻之前，Ilon Mask禁止其员工使用Zoom。SpaceX和Tesla公司负责人指出，该服务在隐私和安全性方面存在严重问题，因此建议使用电子邮件和电话进行公司通信。2020年3月28日，SpaceX高管阻止了其员工使用Zoom。

NASA和Google也反对Zoom

美国宇航局发言人斯蒂芬妮·席尔霍尔茨（Stephanie Schierholz）当天表示，美国航天局还禁止员工使用Zoom，3月30日，联邦调查局波士顿分公司发布了有关使用Zoom的警告：禁止员工在网站上公开会议或共享任何链接。

对于Zuma来说，最新消息并不令人高兴：Google放弃了桌面应用程序Zoom。路透社报道称，谷歌自4月8日起就禁止员工在其笔记本电脑上使用该应用程序，理由是出于对Zoom的安全考虑。管理全球最大搜索引擎的公司代表JoséCastaneda表示：“最近，我们的安全服务通知使用Zoom Desktop Client的员工，该程序将不再在公司计算机上受支持，因为它不符合公司员工使用的应用程序的安全标准。但是，Google仍然允许通过移动应用程序和浏览器使用Zoom。”

他们答应修补...

Zoom Video Communications声称出现数据泄漏问题是因为在过去的一个月中应用服务器还没有准备好迎接如此大量的用户。该公司的首席执行官Eric Yuan甚至在他的博客上详细谈到了这一点，并补充说，他们还需要做很多工作来恢复人们的信任（链接）。

好吧，我们祝大家好运！

放大-平庸的过失还是针对性的间谍活动？