随着新冠疫情的全球爆发,引发了全球远程办公热潮。包括:Microsoft Teams、Zoom、Webex、腾讯会议、钉钉、飞书等国内外众多品牌,远程办公变成了刚需,云视频会议的“用武之地”也越来越多,而Zoom无疑是最大的赢家。

不过,Zoom 最近却接连被曝出安全隐患,甚至 FBI 都对其发出警告, NASA、SpaceX 还要求员工禁用。那么,作为云视频会议的“黑马”  Zoom 最近究竟存在什么样的安全隐患?
1)通过Zoom的“与会者注意跟踪”功能,主持人知道你是否正在专注参加会议。
2)录制会议时,会记录会议聊天信息。
3)根据Zoom的隐私政策,Zoom会收集有关您的大量数据(姓名、地址、电子邮件地址、电话号码、职务、雇主...)。
4)Zoom允许恶意网站接管Mac的摄像头,而不会提醒用户。
5)根据Zoom的隐私政策,Zoom可能会收集有关客户的大量数据。


这些都是与用户数据安全,个人隐私有关,不单单影响着用户对Zoom的信任,同时也暴露出Zoom在这些方面上面的严重不足与忽略(相对于其它友商来说),为了应对这些危机,Zoom的创始人袁征在4月1号发表了一个公开信以说明最近他们在这些方面的改进与努力,可以看到Zoom的反应与应对还是比较迅速及时,态度比较正面,原文如下:
https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/


为此,我整理了一下这封公开信里面的行动措施,针对现有问题的短期应对或补救方案:

  • 3月20日,Zoom发布了一篇博文详细介绍了有助于防止骚扰的保护功能 (如使用等候室、密码保护、静音控件和限制屏幕共享等),来帮助用户解决 在Zoom平台上遇到的骚扰问题,原文 https://blog.zoom.us/wordpress/2020/03/20/keep-the-party-crashers-from-crashing-your-zoom-event/

(4月8号的安全更新里面,针对密码保护对免费版,专业版,教育版用户默认打开会议密码,对于教育版用户强制使用会议密码保护;同时增加了等候室,安全按键等功能

https://blog.zoom.us/wordpress/2020/04/08/zoom-product-updates-new-security-toolbar-icon-for-hosts-meeting-id-hidden/

  • 3月27日,Zoom删除了 iOS 客户端中的 Facebook SDK,并重新对其进行配 置,以防止其从用户那里收集不必要的设备信息。
    https://blog.zoom.us/wordpress/2020/03/27/zoom-use-of-facebook-sdk-in-ios-client/
  • 3月29日,Zoom更新了隐私政策,使Zoom收集的数据以及如何使用这些数据更加清晰透明,并明确表明Zoom不会出售用户数据,过去从未出售过用户数 据,未来也无意出售用户数据,原文 https://blog.zoom.us/wordpress/2020/03/29/zoom-privacy-policy/
    最新的最新隐私政策如下:
    https://zoom.us/privacy?zcid=1231&_ga=2.10245939.721554588.1585895578-1827509365.1585895578
  • 4月1日,Zoom的一些行动:
    - Zoom发布博文以澄清关于Zoom平台加密的事实 ,https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/
    (重点就是这一句话:To be clear, in a meeting where all of the participants are using Zoom clients, and the meeting is not being recorded, we encrypt all video, audio, screen sharing, and chat content at the sending client, and do not decrypt it at any point before it reaches the receiving clients.,其实广义上面的端到端加密是指在传输过程中的加密,而不是全程加密,媒体数据来到服务器上面还是需要做一个解密处理)

    - 永久删除了参会者的注意力跟踪功能(attendee attention tracker)(4月2号更新)
    - 发布了针对 Patrick Weadle 提出的与 Mac 相关的两个问题的程序修复。
    - 发布了 UNC 链接问题的程序修复。
    - 在确定该功能带来不必要的数据泄露后,永久删除了 LinkedIn Sales Navigator 程序。(4月2号更新)


针对上述的短期应对措施,Zoom也在防止类似的数据安全,数据泄露,用户私隐方面做了一些的长期的改善措施,包含了外部审查,资源调用,安全提升,主动的信息汇报等行动:

- 立即暂停所有新功能的开发,并将所有工程师资源都集中到我们最大的信任问题、安全问题和隐私保护问题上来。
- 立即启动由第三方专家和用户代表进行的全面审查。
- 编制一份透明报告,详细说明与数据、记录或内容有关的信息。
- 提升我们当前的有奖“捉虫”计划
- 与业内领先的首席信息安全官合作成立首席信息安全委员会
- 开展一系列的并发白盒***测试,以进一步发现和解决问题。
- 将在太平洋时间周三上午 10 点举办每周一次的网络研讨会, 为公众提供隐私和安全更新。


同时对于教育用户,Zoom做了以下行动:

  - 为管理员提供关于建立虚拟教室的指南。
  - 撰写了关于如何更好地保护虚拟教室的指南。
  - 制定了专门的学前班到 12 年级的隐私政策。
  - 更改了学前班到 12 年级注册的教育用户的设置,在默认情况下,虚拟等 候室将处于启用状态。
  - 更改了学前班到 12 年级注册的教育用户的设置,在默认情况下,教师将 是课堂上唯一可以共享内容的人。


最后,我们如何更安全地使用Zoom以便可以更好地在这个疫情期间使用这款云视频软件呢?

1)Zoom官网(中国用户访问https://zoom.com.cn 海外用户访问 https://zoom.us )下载并使用最新的zoom客户端(Windows、IOS、MAC、安卓)。
2)建议使用企业账号并启用多重身份验证登录到任何zoom客户端,避免使用社交账号登录Zoom。
3)建议避免使用个人会议ID(PMI),即时会议建议使用随机会议ID。
4)合理管理会议参与者,是否考虑仅允许登录用户加入会议;启用虚拟会议大厅功能;正确的删除与会者;是否需要关闭注释功能;合理关闭会议中私下聊天功能;合理配置屏幕共享策略。