Zoom修复了mac电脑的网络摄像头缺陷但安全问题依然存在

Zoom本周发布了一个补丁，修复了Mac版本的桌面视频聊天应用程序的一个安全缺陷，该缺陷可能会让黑客控制用户的网络摄像头。

安全研究员Jonathan Leitschuh发现了这个漏洞，并于周一在博客上发布了相关信息。Leitschuh说，这个漏洞可能会影响到使用Zoom的75万家公司和大约400万人。

Zoom表示，没有迹象表明有用户受到影响。但对这一缺陷及其工作方式的担忧引发了人们的疑问，即其他类似的应用程序是否也可能同样容易受到攻击。

这一缺陷涉及到Zoom应用程序的一项功能，该功能允许用户一键快速加入视频通话，这要归功于一个独特的URL链接，它能立即将用户带入视频会议。(该功能旨在快速、无缝地启动应用程序，提供更好的用户体验。)虽然Zoom为用户提供了在加入通话之前关闭摄像头的选项，而且用户稍后可以在应用程序的设置中关闭摄像头，但默认设置是打开摄像头。

用户需要在缩放应用程序中选中此框关闭对相机的访问。

Leitschuh认为该功能可能被用于邪恶的目的。通过将用户引导到一个包含嵌入并隐藏在网站代码中的快速连接链接的网站，Zoom应用程序可以被攻击者启动，在这个过程中，无需用户的许可，就可以打开摄像头和/或麦克风。这是可能的，因为Zoom还会在下载桌面应用程序时安装一个web服务器。

安装之后，web服务器仍然保留在设备上——即使缩放应用程序已被删除。

在发布了Leitschuh的文章之后，Zoom淡化了对web服务器的关注。然而，周二，该公司宣布将发布一个紧急补丁，将网络服务器从Mac设备上移除。

Zoom CISO的理查德·法利在一篇博客文章中说:“起初，我们并不认为网络服务器或视频直播对我们的客户构成重大风险，事实上，我们认为这些对我们的无缝连接过程至关重要。”“但在过去24小时内，我们听到了一些用户和安全社区的抗议，我们决定对我们的服务进行更新。”

据Techcrunch报道，苹果公司周三还发布了一项“静默”更新，以确保所有Mac设备上的网络服务器都被移除。这一更新也将有助于保护那些删除了缩放功能的用户。

人们对这一漏洞的严重性有不同程度的担忧。根据Buzzfeed News的报道，莱切乌对其严重性的评分为8.5分(满分10分);Zoom根据自己的评估，将这一缺陷评级为3.1。

内梅特研究公司(Nemertes Research)副总裁兼服务总监欧文·拉扎尔(Irwin Lazar)表示，该漏洞本身不应成为企业担忧的主要原因，因为用户很快就会注意到缩放应用正在他们的桌面上启动。

“我不认为这是非常重要的，”他说。风险在于，有人假装要参加会议，点击了一个链接，然后他们的Zoom客户端就会启动，把他们连接到会议上。“如果视频被默认设置为打开，用户就会被看到，直到他们意识到自己无意中加入了一个会议。”“他们会注意到Zoom客户端正在激活，他们会立即看到他们已经加入了一个会议。

拉扎尔说:“在最坏的情况下，他们在离开会议前会被摄像头记录几秒钟。”

Futurum Research的创始合伙人兼首席分析师纽曼(Daniel Newman)说，虽然目前尚不清楚漏洞本身是否造成了问题，但Zoom公司对这一问题的反应时间更令人担忧。

“看待这个问题有两种方式，”纽曼说。“根据(周二)发布的补丁，截至(周三)，漏洞并不那么严重。

Newman说:“然而，对企业客户来说，重要的是这个问题是如何拖了几个月都没有解决，最初的补丁是如何重新创建这个漏洞的，现在不得不问这个最新的补丁是否真的是一个永久性的解决方案。”

莱切赫说，他第一次就该漏洞向Zoom发出警告是在3月底，也就是该公司4月份上市的前几周，他最初被告知Zoom的安全工程师“不在办公室”。完整的修复程序是在漏洞被公开之后才会发布的(尽管在本周之前已经发布了一个临时的修复程序)。

“最终，Zoom未能迅速确认报告的漏洞确实存在，也未能及时向客户交付问题的修复程序，”他说。“一个拥有如此庞大用户群的组织应该更主动地保护他们的用户不受攻击。”

Zoom公司首席执行官埃里克·S·袁在周三的一份声明中表示，公司“误判了形势，反应不够迅速——责任在我们。”我们获得了全部的所有权，我们学到了很多。

“我可以告诉你的是，我们非常重视用户安全，我们全心全意地致力于为我们的用户做正确的事情。”

使用Zoom技术为自己的视频会议服务提供动力的RingCentral表示，它也解决了应用程序中的漏洞。

一位发言人表示:“我们最近获悉，RingCentral meeting软件存在视频漏洞，我们已立即采取措施，为任何可能受到影响的客户减轻这些漏洞。”

“截至[7月11日]，RingCentral不知道有任何客户因发现的漏洞而受到影响或遭到攻击。我们客户的安全对我们来说是最重要的，我们的安全和工程团队正在密切监控情况。”

类似的漏洞可能也会出现在其他视频会议应用程序中，因为供应商试图简化参加会议的过程。

“我还没有测试过其他供应商，但如果他们有(类似的功能)，我不会感到惊讶，”拉扎尔说。“Zoom的竞争对手一直在努力匹配他们的快速启动时间和视频优先体验，现在大多数人都能通过点击日历链接快速加入会议。”

computerworld联系了包括BlueJeans、思科(Cisco)和微软(Microsoft)在内的其他主要视频会议软件供应商，询问他们的桌面应用程序是否也需要安装类似Zoom公司的网络服务器。

BlueJeans说，它的桌面应用程序也使用了桌面服务，不能被恶意网站激活。该公司今天在一篇博客文章中强调说，它的应用程序可以完全卸载，包括取消桌面服务。

该公司联合创始人、首席技术官阿拉古•佩里扬南(Alagu Periyannan)表示:“BlueJeans会议平台在这两个问题上都不脆弱。”

BlueJeans用户既可以通过网络浏览器加入视频通话，也可以通过桌面应用程序加入会议。

“从一开始，我们的启动服务就把安全放在首位，”佩里扬南在一份电子邮件声明中说。启动服务确保只有BlueJeans的授权网站(如bluejeans.com)才能在会议中启动BlueJeans桌面应用程序。与[Leitschuh]提到的问题不同，恶意网站无法启动BlueJeans桌面应用程序。

“作为一项正在进行的工作，我们继续评估浏览器-桌面交互的改进(包括在文章中提出的关于rs - rfc1918的讨论)，以确保我们为用户提供最好的可能的解决方案，”Periyannan说。“此外，对于那些不喜欢使用桌面应用程序启动服务的客户，他们可以与我们的支持团队合作，将桌面应用程序的启动程序禁用。”

思科发言人表示，该公司的Webex软件“不安装或使用本地网络服务器，也不受此漏洞影响。”

微软的一位发言人也说了差不多同样的话，指出它也没有安装Zoom这样的网络服务器。

虽然Zoom漏洞的性质引起了人们的注意，但是对于大型组织来说，安全风险比一个软件漏洞要严重得多，Newman说。他表示:“我认为，这更像是一个SaaSand影子IT问题，而不是视频会议问题。”“当然，如果任何网络设备没有正确设置和保护，漏洞就会暴露出来。在某些情况下，即使设置正确，来自制造商的软件和固件也会产生导致漏洞的问题。”

Zoom自2011年创立以来取得了巨大的成功，它拥有包括纳斯达克(Nasdaq)、21世纪福克斯(21stCentury Fox)和达美航空(Delta)在内的众多大型企业客户。这在很大程度上是因为员工之间的口碑传播和“病毒式”采用，而不是IT部门通常强制要求的自上而下的软件发布。

这种采用方式——推动了Slack、Dropbox等大公司应用程序的流行——可能会给希望严格控制员工使用的软件的IT团队带来挑战，纽曼说。当应用程序没有经过IT审查时，就会导致“更高的风险水平”。

“企业应用程序需要将可用性和安全性结合起来;这个特殊的问题表明，Zoom显然更关注前者，而不是后者，”他说。

“这是我看好Webex团队和微软团队的部分原因，”Newman说。“这些申请往往通过它进入，并由适当的机构进行审查。此外，这些公司拥有大量专注于应用程序安全的安全工程师。”

他注意到Zoom公司最初的反应——“安全工程师不在办公室”，好几天都无法回复。“很难想象微软或(思科)会容忍类似的反应。”