Zoom 视频会议泄露事件,提醒了我们日常召开视频会议需要注意哪些安全措施呢

2020-04-07 17:01:26 万方科技整理 789

  4月1日,据外媒报道,研究人员发现了视频会议Zoom应用存在的漏洞,Windows版Zoom客户端容易受到NUC路径注入攻击的安全漏洞,该漏洞可能使远程攻击者窃取Windows系统用户的登录凭据,这可能导致用户使用该应用时面临隐私泄露的风险。

  与此同时,美国联邦调查局(FBI)、美国航天局(NASA)和太空探索技术公司SpaceX近日也都宣布,禁止员工继续使用Zoom。

  此前,Zoom还修补了其软件中的另一个隐私漏洞,该漏洞可能让未被邀请的人参加私人会议,并远程窃听整个会话,共享私人音频、视频和文档。

  3月26日有报道称,在iOS系统下载或打开Zoom App 时,App内嵌的Facebook SDK软件开发工具包会向Facebook传送用户的手机型号、时区、城市、运营商,以及广告唯一标识符等信息。

  2019年7月,Mac版本的Zoom客户端中存在漏洞,一旦点击特定的恶意网站,就可在未经你许可的情况下启用你的摄像头。

  针对漏洞事件,Zoom CEO袁征表示,将在未来90天内着手解决隐私安全方面的问题,并将暂停其它业务工作。Zoom还将发起“漏洞赏金”计划,为发现安全漏洞的人提供报酬,并与第三方一起解决问题。

  袁征于2011年创立了Zoom,2019年4月18日,Zoom登陆纳斯达克,每股36美元。今年3月23日,Zoom股价创下164.90美元的52周新高。Zoom最新财报显示,第四财季,其获得10万美元以上款项的客户有641个,同比增长86%。员工在10名以上的Zoom客户数量为81900个,同比增长61%。另有数据显示,Zoom的用户数量已经从去年12月份的每天约1000万人增加到今年3月份的2亿人。受安全及隐私方面问题影响,Zoom股价从跌至了目前的191.93美元。

  Zoom 安全漏洞

  从 3 月 26 日开始,网络上就有声音,对 Zoom 的安全性提出质疑,也就在这短短一周里,Zoom 被媒体、企业、用户多方面施压。最引人注目的当属以下安全漏洞

  安全专业团队 Trent Lo,开发了一个叫 zWarDial 的程序,可以自动猜测 9 到 11 位数字的 Zoom 会议 ID,并收集有关这些会议的信息。

  漏洞分析

  由于Zoom Meeting ID是由9或10或11个数字组成的。如果没有启用“Require meeting password”选项或Waiting Room,这个9/10/11位的数字就唯一可以确保会议安全防止非认证用户接入的。这是一个相对脆弱的验证机制,可能导致会议信息的泄露和会议被入侵。

  Zoom员工正在改善安全功能,并且尚未提供最终解决方案,因此鼓励Zoom用户采用以下临时解决方案来保护自己。

  为Zoom会议添加密码

  创建新的Zoom会议时,Zoom将自动启用“需要会议密码”设置并分配一个随机的六位数密码。不要关闭此选项。取消选中时,任何人都可以未经许可访问会议。

  使用等候室功能

  通过Zoom主持人(创建会议的主持人)可以启用等候室功能,以便用户在未经主持人许可的情况下无法加入会议。要在创建会议时启用此功能,请打开高级设置,选择“启用等候室”设置,然后单击“保存”按钮。

  及时更新Zoom客户端

  最新的Zoom更新默认情况下启用会议密码,并为扫描会议ID的用户提供额外的保护。

  不共享个人会议ID

  每个Zoom用户都会获得一个与其帐户关联的永久“个人会议ID”(PMI)。如果将您的个人PMI提供给其他人,则他们将始终能够查看你是否正在进行会议,如果你没有设置密码,他们就可以闯入你的会议。

  禁用参与者屏幕共享

  为防止其他人接管您的会议,请确保没有其他人可以共享您的屏幕。主持人可以通过单击会议的“Zoom”工具栏上“屏幕共享”旁边的向上箭头,然后单击“高级共享选项”来执行此操作。

  所有人加入后锁定会议

  如果所有人都已加入但没有邀请任何人,则需要锁定会议,以便其他任何人都不能加入。为此,请单击“Zoom”工具栏上的“管理参与者”按钮,然后在“参与者”窗格底部选择“其他”。然后选择锁定会议选项。

  除了zoom之外,使用其他视频会议软件也有需要注意的安全措施。

  因为经常要桌面共享,在桌面上不要放置敏感文件,会议时建议关闭不必要的社交和其他软件,避免桌面共享时,敏感信息泄漏。

  不要使用社交工具帐号登录视频会议软件,应另外注册视频会议软件帐号,并且密码保证足够的复杂。

  创建视频会议时设置密码,不随意公开分享视频会议链接。

  会议主持人应限制随意共享桌面功能,默认会议开启全员静音,全员关闭摄像头。

  组织内部会议,所有人应实名,公开的会议,尽量匿名。

  更新视频会议客户端到最新。

  不要随意加入来路不明的会议。

  Zoom漏洞爆发为互联网企业敲响警钟,云应用要注意安全合规。

  Zoom是一个SaaS的云应用,本次事件Zoom损失巨大。4月1日,据外媒CNET报道,万豪国际大约有520万名客人的姓名、通讯地址、会员帐号和其他个人信息遭遇泄露。这些事件提醒企业应该注重安全合规。

  我国于2017年6月正式实施《中华人民共和国网络安全法》。在数据安全也有诸多规定。明确规定了网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。

  欧盟于2018年5月正式实施了《通用数据保护条例》 (General Data Protection Regulation,简称GDPR),GDPR是一项保护欧盟公民个人隐私和数据的法律,其适用范围不仅包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。

  云应用在运营过程中,安全合规是红线,忽略安全,将面临严重的经济损失,甚至面临安全风险。

  Zoom漏洞洞解决方案:

 图片关键词

标签: 安全措施