先跟大家说一下Zoom。
这是他们家的APP。对,它是一家专门做视频会议服务的公司。创始人兼CEO是一位中国的移民-袁征(Eric Yuan)。他们的主要用户在美国。
最近加拿大有家叫Citizen Lab的网站,发布了一篇文章。
大致的内容说的是Zoom的通信不是点对点的。他们发现在一个美国用户和一个加拿大用户的视频通话中,会议加密和解密的密匙是从北京的Zoom服务器发出的。
而Zoom在中国注册了3家公司,有至少700名开发人员。
他们猜测,Zoom公司可能有法律义务向中国有关部门提供秘钥。他们的会议内容会被泄露。
所以这又是一个和华为、大疆、Tiktok一样的剧本?是西方邪恶势力在打压有中国血统的企业?
我们来看看这个事件的始末。
受新型冠状病毒疫情影响,感染的人数飙升,美国人民从一开始的“这有啥?小问题!” 到 “卧槽,这么严重!”,开始隔离。
他们开始和我们一样,学校上网课,公司开视频会议。(对了,还有云趴体
)就这样,Zoom的日活用户由去年12月份的1000万翻了20倍,到了2亿。然后股票暴涨超过70%,市值也从2019年4月上市时的92亿美元增长到320多亿美元。
树变大了就招风,Zoom受到的关注也更多了。
3 月 26 日,Motherboard指出,在 iOS 系统下载或打开 Zoom App 时,App内嵌的 Facebook SDK会向Facebook 传送用户的手机型号、时区、城市、运营商以及广告唯一标识符等信息,而 iOS 版本的 Zoom甚至没有在隐私条款中提前说明,就将用户数据共享给Facebook。
随后,Zoom承认了漏洞。
3月30日,美国联邦调查局(FBI)波士顿办公室发布了关于 Zoom 的警告,提醒大家不要在 Zoom 进行公开会议或者广泛分享链接,甚至还谈到此前已经发生了多起身份不明的人入侵学校网络课程的事件。
4月3日华盛顿邮报又报道出Zoom存在的重大安全漏洞:数以万计的私人Zoom视频被上传至公开网页,任何人都可在线围观!
向华盛顿邮报爆料的是美国国家安全局的前研究员帕特里克·杰克逊(Patrick Jackson),他爆料称在开放的云存储空间中一次性搜到了15000个Zoom视频。
大家请注意,这些漏洞是实实在在存在的。并不是无中生有,暗度陈仓,凭空想象,凭空捏造。
拿最近的这次录屏文件被上传至公开网页来说。
泄露的视频中包括:一对一的治疗课程;远程健康培训,其中还有人名和电话号码信息;涉及到私人公司财务报表的小型企业会议;小学生的网课里学生的脸、声音和样貌细节都很清楚。
许多视频包括个人身份信息和在人们家中录制的亲密对话。甚至有美容师传授脱毛的裸露视频。
这些视频是在进行视频会议过程中通过Zoom录制的,并在没有密码的情况下保存到单独的云存储空间。
那么这个漏洞是啥?
说出来可能会让人哭笑不得。
录制视频的时候Zoom默认以相同的方式给每个视频命名。
Patrick Jackson是通过一个免费的可以搜索到云存储空间资源的搜索引擎找到这些视频的。使用Zoom的默认命名规则搜索记录时,显示了15000多个结果。
如果就是泄露了几个,那可能是用户的安全意识比较差。但是一下就能搜出这么多,明显就是软件的设计缺陷了。
所以,到底是不是西方邪恶势力在打压具有中国血统的公司呢?
我们可以看到,除了开头的Citizen Lab发表的文章里有提到Zoom把信息泄露给中国,另外那些爆出来的漏洞都是基于Zoom本身的业务,而且确确实实存在了安全隐患。
不管你是中国的还是美国的公司,涉及用户隐私泄露的问题就是要命的大问题!
2018年3月,Facebook爆出重大丑闻,5000万用户隐私泄露。得到的结果是股票应声暴跌7%,市值瞬间蒸发300多亿美金。
这个世界有很多阴谋论者,他们见不得我们好。但只要我们自身没有问题,并且是真的优秀,时间会给出真相。
同样这个世界也有很多其他的不同声音,有发现我们自身不足问题的。我们是否能把情绪抛开,理性看待呢?如果他们说的问题确实存在。那么这何尝不是帮助我们变得更好的力量呢?
Zoom的这些漏洞一直都是存在的,只不过用户量暴增以后受到的关注也变高了,这些漏洞才被发现。
打个不太恰当的比方,就好比是一个基础不太扎实的建筑设计者突然间被予以重任要去造一栋好看的大房子。结果造了一半被发现这个建筑结构有缺陷,而且不止一处,这些缺陷可能导致的结果是稍微碰到点等级低的地震就有可能倒塌。
但幸运的是这个设计者承认了被指出的这些缺陷确实存在,并表示要把这些缺陷改进。
所以Zoom发公告表示将停止所有新功能的开发,并将全部工程资源用于解决最近的安全漏洞问题。
袁征甚至表示,如果不能把Zoom变成世界上最安全的平台,在接下来的几年里,他会考虑开源Zoom的代码,让更牛逼的人们把系统做到足够安全。
这才是一个做技术的人应有的态度!而不是玻璃心的稍微有一些不好听的言论就觉得委屈,觉得那些阴谋论的人又来搞我。菜就是菜!我拼劲全力让自己变成大神。
我们可以看看另外一家企业。
(利益相关:本人不是花粉)
华为在去年8月份推出了鸿蒙系统之后便悬赏最高20万欧元,折合人民币150多万,奖励发现其系统漏洞或者破解设备的人或团队。并且是每个最高级别的漏洞20万欧元,基于漏洞个数奖金没有上限!
这恰恰说明了华为对安全的重视。想要通过这种方式发现系统安全隐患,防止后期出现安全事故。
另一部分原因可能也是出于自信吧。
“你尽管来找,找到算你牛逼!”
-- END --
