Categories
程式開發

一周曝出N個安全問題,風口上的Zoom宣布停更90天


4 月 2 日,Zoom 創始人兼CEO 袁征宣布:在接下來的 90 天內將停止 Zoom 的功能更新,轉向安全維護和 BUG 修復。據悉,Zoom 會投入資源去識別、定位和解決問題,甚至會邀請第三方參與對軟件進行“全面審查”。

據袁征介紹,目前 Zoom 的日活用戶數達到了 2 億,這是構建平台之初沒有預計到的規模,因此也帶來了沒有估量到的安全和隱私問題。

的確,因為新冠肺炎疫情的全球蔓延,使得多個國家和地區的人民不得不選擇在家辦公或學習,Zoom 也因此得到了巨大的流量和新增用戶,根據Apptopia 的數據,Zoom 的3 月份活躍用戶較去年同期增長了151%。

Zoom 本該正是處於“高光時刻”,但現在卻深陷“安全與隱私”的泥沼。僅僅一周的時間,Zoom 就先後被曝出向Facebook 發送用戶數據、洩露Windows 登錄憑證、未經用戶同意通過預加載方式下載應用程序、未按宣傳所言採用端到端的加密方式等安全問題,也正是因為這些問題,NASA 和SpaceX 宣布禁止使用Zoom。

用戶毫不知情,Zoom 就把數據共享給了 Facebook

Motherboard 網站發現,Zoom iOS 應用正在通過“使用Facebook 登錄”功能將數據發送到Facebook,發送的數據包括手機型號、打開程序的時間、所在時區和城市、使用的電信運營商,甚至還包括了可用於廣告定位的標識符。

據悉,Zoom 使用 Facebook SDK 實現的“Facebook 登錄”功能,主要是為了給用戶提供訪問平台的便利方法。但是在調查中發現,即使你不是 Facebook 用戶,也會被收集信息。

整個數據共享的過程是這樣的:用戶下載打開 App 後,Zoom 就會連接到 Facebook 的 Graph API。而這個 Graph API 就是開發者與臉書交流數據的主要方式。

Zoom 表示:“Facebook SDK 功能確實在從用戶收集數據,但是收集的數據不包括個人用戶信息,而是包含用戶設備的數據。”

隨後,Zoom 更新了 iOS 應用程序的版本,並改進了 Facebook 登錄功能。刪除了 Facebook SDK,重置該功能,用戶仍然可以通過瀏覽器使用 Facebook 賬戶登錄 Zoom,但是需要更新到最新版本,該功能才會生效。

Zoom 客戶端洩漏 Windows 登錄憑證

根據外媒報導,Zoom Windows 客戶端很容易受到 NUC 路徑注入的攻擊,攻擊者可能會利用此路徑竊取單擊鏈接的用戶 Windows 憑證。

據了解,使用 Zoom 發送聊天消息時,發送的所有 URL 都會經過轉換,方便其它聊天者點擊,並在默認瀏覽器中打開。安全研究員 @ _g0dmode 發現,Zoom 客戶端竟然將 Windows 網絡的 UNC 路徑也換成了這種可單擊的鏈接。

一周曝出N個安全問題,風口上的Zoom宣布停更90天 1

常規 URL 和 UNC 路徑(evil.server.comimagescat.jpg)都被轉換為可單擊的鏈接

當用戶單擊 UNC 路徑鏈接時,Windows 會嘗試使用 SMB 文件共享協議連接到遠程站點,打開遠程路徑中的 cat.jpg 文件。在默認情況下,Windows 將發送用戶的登錄名和 NTLM 密碼哈希值,在這個階段,如果是個有經驗的攻擊者,就可以藉助 Hashcat 等免費工具來逆向運算。

安全研究人員 Matthew Hickey 對此進行了實測,並證實不但能在 Zoom 中順利注入,而且可以藉助民用級 GPU 和 CPU 來快速破解。除了能竊取到 Windows 登錄憑證,UNC 注入還可以啟動本地計算機上的程序,例如 CMD 命令提示符。

一周曝出N個安全問題,風口上的Zoom宣布停更90天 2

16 秒暴力破解簡單密碼

不過,幸運的是 Windows 會在程序被執行前發出是否允許其運行的提示。但想要真正解決這個問題,Zoom 必須屏蔽部分可單擊的鏈接,停止 Windows 客戶端的 UNC 路徑轉換功能。

APP “自動”安裝? Zoom 預安裝腳本引爭議

3 月31 日,Twitter 用戶Felix 發文稱:“Zoom macOS 安裝程序在用戶沒有同意的情況下,會自動安裝,並且還會使用具有高度誤導性的標題來獲取用戶權限,這與macOS 惡意軟件的’套路’如出一轍。”

一周曝出N個安全問題,風口上的Zoom宣布停更90天 3

據了解,Zoom 會使用預安裝腳本,使用捆綁的 7zip 手動解壓縮應用程序,如果當前用戶在 admin 組中 (不需要 root),則將其安裝到 / Applications。隨後,Zoom 做出回應,表示採用這種做法的目的是為了減少安裝過程的複雜性,因為在 Mac 上安裝 Zoom 並不容易,並認同了 Felix 的觀點,未來會繼續改進。

一周曝出N個安全問題,風口上的Zoom宣布停更90天 4

Felix 對這個解釋並不認可,他認為提高可用性不應該犧牲安全性,Zoom 作為被廣泛使用的應用程序,這一做法雖然沒有惡意,但卻極為不妥。

Felix 詳細描述了 Zoom macOS 預安裝腳本是如何工作的?

首先,Zoom 會使用 pkg 文件(一種安裝程序格式,類似於 Windows 的 MSI)在 macOS 上分發客戶端,在用戶加入 Zoom 的某個會議時,系統會提示用戶下載並允許軟件。通常情況下,用戶是可以在該步驟中進行自定義和確認安裝的操作。但是,Zoom 的安裝程序則跳過了這些步驟,要求允許“pre-requirement”腳本運行,該腳本通常是在正式安裝之前運行,用來檢測軟件是否與計算機兼容。

一周曝出N個安全問題,風口上的Zoom宣布停更90天 5

需要注意的是,雖然“pre-requirement”腳本在運行之前會提示用戶,但提示信息卻是“will determine if the software can be installed”,一般來說,用戶會點擊Continue,但你不知道這時Zoom 已經開始安裝了。 Zoom 安裝程序,不僅會執行預安裝檢查,還會作為腳本的一部分執行整個安裝。更騷的操作是,安裝程序還附帶了一個捆綁版本的 7zip,可以解壓縮。

如果用戶是admin,那麼腳本會將提取到的客戶端直接複製到/Applications 目錄中,並進行一些清理工作,就完成安裝;如果用戶沒有權限寫入/Applications,且尚未安裝Zoom 客戶端,那麼,將會被複製到本地應用程序目錄/Users//Applications;如果用戶已經在/Applications 中安裝Zoom,但沒有權限更新,那麼該腳本會啟動“ zoomAutenticationTool”輔助工具(同樣被打包在pkg 文件中),該工具使用已廢棄的AuthorizationExecuteWithPrivileges() 系統API 來顯示密碼提示,以便運行具有root 權限的“runwithroot”腳本。

所謂的端到端加密是“謊言”?

全球疫情的發展,使得很多企業不得不選擇遠程辦公的方式,這時遠程辦公和協作工具的加密問題就顯得尤為重要。

近日,有外媒報導 Zoom 在安全白皮書中提到了其支持端到端加密,但實際並沒有為所有視頻會議提供此類加密方式,存在誤導用戶的嫌疑。

隨後,Zoom 發言人表示目前不可能為視頻會議提供端到端加密。但否認了“誤導用戶”的說法,並稱白皮書中的“端到端”指的是 Zoom 到 Zoom 之間的連接。

據了解,Zoom 目前使用的是 TLS 加密,即 Zoom 服務器到用戶個人之間的傳輸是處於加密狀態的。而端到端加密是指在設備之間對所有通信進行加密,從而使託管服務的組織也無法訪問聊天的內容。如果是 TLS 加密,Zoom 可以攔截解密視頻、聊天和其他數據。

值得注意的是,英國首相鮑里斯·約翰遜(Boris Johnson)週二在 Twitter 上分享了“the first ever digital Cabinet”的屏幕截圖,圖片顯示多位官員在使用 Zoom 進行視頻會議。這也引發了大家對於 Zoom 安全性的討論。

一周曝出N個安全問題,風口上的Zoom宣布停更90天 6

安全問題頻出,NASA 與 SpaceX 宣布禁用 Zoom

3 月 28 日,SpaceX 給員工發布了一封電子郵件,要求員工停止使用 Zoom,“我們知道有很多員工在使用 Zoom 進行視頻會議,現在請你們使用電子郵件、短信以及電話來代替 Zoom。”

據了解,SpaceX 禁用 Zoom 的原因是其存在著“嚴重的隱私和安全性問題”。美國了聯邦調查局(FBI)在本週一也發布了一則關於 Zoom 的警告,提醒用戶不要在該網站上進行公開會議或廣泛分享鏈接。

值得關注的是,除了 SpaceX,該公司最大的客戶之一美國國家航空航天局(NASA)也宣布禁止員工使用 Zoom。

被盯上了?偽裝成 Zoom 的釣魚網站分發惡意軟件

“人怕出名豬怕壯”,“流量擔當”的 Zoom 不止自己問題頻出,還被某些有心人士“盯上”了。近日,有網絡犯罪分子通過註冊虛假的“Zoom”域名和惡意的“Zoom”可執行文件來誘導用戶下載惡意軟件。

根據 Check Point Research 最新發布的一項報告,自新冠病毒流行以來,已經註冊了 1700 多個新的“Zoom”域名,其中 25% 的域名是在過去的 7 天中註冊的。

一周曝出N個安全問題,風口上的Zoom宣布停更90天 7

此外,研究人員還檢測到“ zoom-us-zoom _ ############.exe”和“ microsoft-teams_V#mu#D_##########.exe ”惡意文件,其中#代表各種數字。這類惡意軟件會在用戶的計算機中安裝 InstallCore PUA,從而導致其他惡意軟件的捆綁安裝。

當然,Zoom 並不是攻擊者的唯一目標,隨著疫情的發展,各個國家和地區都開始鼓勵學生在線學習,因此在線學習平台也成為了攻擊目標,研究人員發現了偽裝成合法Google Classroom 的釣魚網站,例如googloclassroom .com 和googieclassroom .com,來誘導用戶下載惡意軟件。