即使你删除了你的缩放视频它们仍然可以在云中存在

互联网 2020-04-17 09:46:18

如果您在缩放会议期间单击“记录”到“云”,您可能假设缩放和云存储提供商默认情况下会有密码保护您的视频一旦上传。 如果你从你的缩放帐户中删除了那个视频,你可能会认为它已经消失了。 但在最新的安全和隐私问题继续困扰Zoom的例子中,一位安全研究人员发现了一个漏洞,把这些假设抛在了脑后。

一周前,PhilGuimond发现了一个漏洞,允许某人使用包含URL部分的共享链接,如公司或组织名称,搜索存储的Zoom视频。 然后可以下载和观看这些视频。 Guimond还创建了一个名为Zoombo的工具,利用Zoom隐私保护的限制,破解了精明用户手动保护的视频密码。 他发现被删除的视频在消失前几个小时仍然可用。

(披露:Guimond是CNET母公司CBS Interactive的信息安全架构师。)

“Zoom在开发软件时根本没有考虑安全性,”Guimond告诉CNET。 “他们的产品对于主流产品而言,在行业中低挂果的弱点最多。”

上周六,Zoom发布了一个更新后,CNET询问了脆弱性。 该应用程序现在添加了一个Captcha挑战,当有人点击一个共享链接。 更新有效地阻止了Zoombo,但使核心漏洞不固定。 一旦Captcha被击败,黑客仍然可以手动跟踪共享链接。 该公司周二推出了进一步的安全更新,以加强上传视频的隐私。

一位Zoom发言人告诉CNET说:“在得知这个问题后,我们立即采取行动,通过reCaptcha增加速率限制保护,以防止在密码保护的记录页上使用暴力。” Zoom发言人告诉CNET说:“为了进一步加强安全性,我们还对未来的所有云记录实施了复杂的密码规则,现在默认打开密码保护设置。”

新的Zoom漏洞被发现,因为视频会议平台提请注意安全和隐私问题,这些问题已经暴露在其用户基础的快速增长。 由于大流行迫使数百万人在过去的一个月里呆在家里,Zoom突然成为视频会议服务的首选。 平台上的每日会议参与者从12月的1000万激增到3月的2亿。

随着受欢迎程度的提高,受Zoom隐私风险影响的人数也有所增加,人们担心的范围从内置的注意力跟踪功能到“Zoombing”,即不速出席者闯入和扰乱带有仇恨或色情内容的会议的做法。 据称,Zoom还与Face book共享用户数据,至少引发了三起针对该公司的诉讼。

共享链接听起来就像:用户共享的链接邀请某人参加缩放会议。 它们比视频的长度更长的永久URL更简单,通常包括公司或组织名称的一部分。 一些共享链接可以通过以URL为目标的谷歌搜索找到,如果用户没有手动保护密码,那么链接的相应视频就可能成为恶意参与者下载的目标。 即使是那些受到保护的人,以前密码长度也受到限制,使他们容易受到攻击。

吉蒙德说,他向Zoom展示了他的发现,但没有得到回应,他尝试了密码保护他自己的视频,因为它们在默认情况下没有受到保护。 在那之后,他编写了一些代码来轰炸变焦试图打开视频,这一过程被称为蛮力。 他说,密码可能被破解。

越来越多的国内和全球政府实体限制了Zoom用于国有企业。 据报告,4月初,德国外交部警告工作人员不要使用该软件。 新加坡禁止教师使用它远程教学。

在同一周,据报道,美国参议院告诉成员们,在锁定期间,避免使用Zoom进行远程工作。

Guimond的核心安全问题之一是Zoom将所有记录存储在一个桶中,这是亚马逊云存储空间无保护的一个术语。 任何人都可以访问视频,如果他们有链接,这是一个威胁,以前由华盛顿邮报报道。

一旦有人获得视频的永久链接,他们也可以捕获缩放会议ID。 该会议ID可以允许他们单独针对一个用户,潜在地打开该用户的缩放和其他隐私入侵。

为了说明公司潜在的隐私风险,Guimond说,如果有人能够闯入一个公司Slack对话,一个Zoom共享链接经常交换的地方,黑客将有很多机会损害公司隐私。

Guimond说:“这些[共享链接]默认情况下不需要认证。 “你甚至可以在一个私人窗口里打开它们。

虽然Zoom周二的更新改变了软件的默认上传选项,需要某种形式的身份验证,但在更新之前记录到云的任何视频的链接仍然可能是脆弱的。 佐姆在周二的博客文章中说,“现有的共享录音不受更新的影响”。

当被问及Zoom是否采取了任何措施或计划保护以前录制给云的视频的隐私时,该公司敦促用户采取自己的预防措施。

Zoom发言人说:「虽然我们不会更改现有录音的设置,但如果用户希望开启密码保护或限制对认证用户的访问,他们可以随时这样做,我们欢迎他们这样做。」

他说:「一般而言,若主办机构选择公开或与经认证的用户分享会议录音,或将会议录音上载至其他地方,我们促请他们极为谨慎,并与会议与会者保持透明,同时审慎考虑会议是否载有敏感资料及与会者的合理期望。」

如果你认为简单地删除这些视频可能更容易,你可能需要分配更多的时间。 当Guimond调查与Zoom会议相关的永久链接的安全性时,他发现删除后的Zoom视频在几个小时内仍然可以访问。

他说:“如果您添加了密码并删除了文件,就可以降低风险。” Guimond说:“但它可能仍然存在于亚马逊网络服务存储桶中。”

当CNET询问Guimond的发现时,Zoom说它将调查此事。

Zoom发言人说:“根据我们目前的调查结果,访问录制视图页面的唯一URL在删除后立即停止工作,因此无法访问。” 不过,如果最近有人在录像被删除的时间内观看,他们可以在录像期结束前继续观看一段时间。 我们继续调查此事。

当被问及用户和组织可以做些什么来提高以前上传到云中的视频的隐私和安全性时,Guimond建议再看看这些设置。

他说:“我建议你回去用强大的密码保护他们,然后可能会删除他们。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢