您当前的位置:中国科学网>资讯>正文

客户花钱雇黑客竟是为Zoom找bug风口浪尖的视频会议No.1安全问题如此魔幻

放大字体  缩小字体 时间:2020-04-21 17:08:57 作者:责任编辑NO。邓安翔0215

编者按:本文来自微信大众号“量子位”(ID:QbitAI),作者 白交 鱼羊,36氪经授权发布。

客户花钱找黑客,帮你产品找Bug……

这样的客户哪里找?这样的产品又终究有怎样的福报?

Zoom,疫情之下最火爆的视频会议公司,又上演了电影相同的商业剧情。

继没完成端到端加密、北美的视频通话绕道我国、一分钱能买71个Zoom账号之后……

风口浪尖上的Zoom,又被其客户Dropbox的前工程师曝出:客户早就对Zoom的安全性感到瑟瑟发抖。

据纽约时报报导,Zoom的客户之一——Dropbox在2018年就开端付钱给尖端黑客,让他们帮助找出Zoom的缝隙。

成果,不只安全缝隙的数量和严峻程度令人感到震动,在他们将缝隙报给Zoom后,Zoom的修正速度也令人头大。

比方,黑客在上一年发现了Zoom的一个缝隙:经过Zoom,进犯者可以获取苹果macOS用户的计算机操控权。

而Zoom花费了整整三个月的时刻,在又有其他黑客发现了这一缝隙后,才总算完成了修正……

真魔幻啊。掏钱换掉不香吗?

来自协作伙伴的push

Dropbox和Zoom自2018年起就达成了协作伙伴关系。

随后,Dropbox将本身功用跟Zoom进行了整合。

不过,Dropbox仍是留了个心眼。出于对视频会议系统缝隙危及本身企业安全的考量,Dropbox决议自行监控Zoom的安全缝隙。

他人家付费找黑客来debug,找的都是自家的bug。

而Dropbox的缝隙赏金方案,却是让黑客给Zoom找缝隙。

对此,Dropbox是这样解说的:

在2018年,咱们试行了一个方案,将战略协作伙伴和供货商归入咱们的缝隙赏金方案。在此方案下,Dropbox会向发现协作伙伴平台中缝隙的安全研讨人员供给奖赏。

成果嘛,大约也无需多言。横竖,连Dropbox自己的工程师都开端下场给Zoom抓虫,并加装了控件来操控Zoom带来的危险。

据纽约时报报导,Dropbox的年度黑客比赛上,他们搞了一个山寨版Zoom——Vroom, 要求研制人员对其进行破解。而这样做的意图,是教育自家工程师们不要像Zoom那样犯安全过错。

替他人Debug,终究意图当然不止于找出缝隙。

Dropbox把这些bug都报给了Zoom,并催着Zoom进行修正。

Dropbox前安全主管Chris Evans就表明,Dropbox这样的前期介入显着帮到了Zoom,不然Zoom爆火之后,缝隙问题恐怕会带来更多费事。

只不过,Zoom此前修正缝隙的速度并不总是让人满足。比方前文说到的针对MacOS的深层进犯,Zoom花了三个月的时刻才处理。

乃至,向纽约时报爆料的前Dropbox工程师以为,正是由于未能彻底变革其安全事务,Zoom才堕入了现在的窘境。

对此,Zoom创始人兼CEO袁征曾在2019年7月发布公告,就未能及时回应缝隙问题抱歉:

在曩昔90天的研讨中,咱们过错地判断了局势,反响不行敏捷,职责在咱们。

不过抱歉归抱歉,要是其时就彻底改好了,也不会在疫情之下被锤爆。

疫情爆红之下的Zoom

短短几个月内,Zoom以一个只服务于公司事务的工作会议东西敏捷转变为全球榜首的视频软件。

前几天,BondCapital合伙人、“互联网女皇”Mary Meeker发布了最新一期的《互联网趋势陈述》。其间就说到,以Zoom为代表的科技公司成为2020年疫情风口上的宠儿。

用户数暴增20倍,股价也一路狂飙,到4月20日收盘,Zoom股价为148.99美元。

尽管用户数与股价齐飞,但各种问题也是接二连三。

Zoombombing、与Facebook同享数据、缺少端到端加密,服务器要经过我国,黑客叫卖zoom账号一分钱购买71个……

Zoom就这样,一会儿处在了风口浪尖上。

当然,也有人为Zoom鸣不平,正是由于用户数一会儿暴增的20倍,让Zoom有了许多史无前例的新用处,信任没有哪一个视频会议软件可以顶住这一层压力。

前Facebook首席安全官、Zoom安全参谋Alex Stamos就表明:Zoom在疫情之中面对很大的改变,公司有必要以新的方法去考虑隐私和安全问题。

好在这一次,面对问题,Zoom不磨蹭了。

Grupo Banco Santander网络安全研讨负责人Daniel Cuthbert说:“Zoom的缝隙很严峻,但并非仅有的、特别的。现在,Zoom敏捷采取了举动,这是令人欢喜的行动。”

就在被锤爆后,Zoom揭露宣告将中止开发新功用,将在90天的时刻里边进行各种问题的修正,并将在每周举行一次研讨会,直接对话Zoom CEO袁征。

这不,现已举行了两次的研讨会,在官网上现已有了会议记录。

先是榜首次研讨会上,袁征与5,900多名与会者进行了攀谈,并经过YouTube直播加入了更多与会者。

会上,袁征首要是答复了一些问题,其间最为首要的便是关于“加密”。

咱们运用的是AES加密的方法,密钥是由咱们的系统生成的。咱们正在开发一项功用,以便从咱们的客户那里生成密钥。咱们正在将加密从AES-256 ECB晋级到AES-256 GCM。未来的45天里,将致力于让每个用户都可以晋级程序,运用新功用。

而在第2次的研讨会上,Zoom便有了实质性的发展。

首先是在人员调集上面,新的安全参谋Alex Stamos也在会上露脸。

Alex Stamos是前Facebook首席安全官,是斯坦福大学世界安全与协作中心的计算机科学家及兼职教授。

此外,还启动了一个缝隙赏金方案。

Zoom将与Luta Security协作,重新启动缝隙赏金方案。

Luta Security将经过90天的“恢复”方案全面评价Zoom的方案,该方案将包括一切内部缝隙处理流程。

Luta Security由Katie Moussouris创立。

尽管姓名我们生疏,但这个人,来头真不小。

她曾在Microsoft、Pentagon上创立了缝隙赏金方案,并还直接参与了美国国防部为黑客拟定的榜首个缝隙赏金方案。

看来,Zoom要处理网络安全的问题决心很大呀。

最终,袁征团队也强化了一些安全功用。比方主持人或联合主持人可以正常的运用“确定会议”、“启用等候室”、更改了视频会议的默认设置、增强了暗码的复杂性等等。

乃至还对外揭露了内部工作方案时刻表。

这一次,看起来是诚心改过了。

但是,跟着疫情对视频会议软件的催熟。

现在Zoom面对的竞赛局势大变,不说微柔和谷歌等巨子纷繁加码,加大在视频会议方面的投入和产品体会提高。

一众我国公司,也纷繁“揭竿而起”,腾讯会议、字节跳动飞书、阿里云会议……就连百度内部IM东西百度Hi、网易内部IM东西,都纷繁传出要“对外开放”的气势。

留给Zoom的时刻,不多了。

留给客户的可选项则更多了,流通、安全,更要免费……Zoom之前“独享”的蛋糕,现在竞赛但是空前剧烈的。

对了,你们视频会议,用的啥软件嘞?

参阅链接

https:///2020/04/20/technology/zoom-security-dropbox-hackers.htmlhttps:///zoom-security-flaw-hackathon-dropbox-2020-4https:///article/us-health-coronavirus-videoconferencing/explainer-zoom-bombs-make-choosing-video-apps-harder-for-lockdown-chats-idUSKBN2222M0https://blog.zoom.us/wordpress/2019/07/10/security-update-and-our-ongoing-efforts/

“如果发现本网站发布的资讯影响到您的版权,可以联系本站!同时欢迎来本站投稿!