从在会议中播放色情内容的“Zoom轰炸”,到偷偷向Facebook发送用户数据,视频会议软件Zoom的隐私丑闻还在继续。
据多个外媒报道,安全研究员Patrick Jackson近日在亚马逊云计算平台(AWS)上发现了15000个公开的Zoom会议视频,内容包括医疗会议、商务会议、小学课堂等。
会议发起人录制视频时,无需获得参会者的同意,仅会向参会者发送录制开始的提醒。这也导致Zoom会议视频被公开后,很多当事人看到自己的脸、声音和个人信息感到很惊讶,因为他们当时根本没有意识到被录下来了。
录制完成后,会议发起人可以选择把视频存在本地或上传Zoom服务器。不过,也有人会选择再把视频上传到AWS这种第三方云平台上,且不设置密码。
据《华盛顿邮报》报道,Jackson通过“一个简单的在线搜索”,就找到了15000个完全公开的Zoom会议视频。“很多视频都被保存在单独的、没有密码的线上存储空间里”,他说,因为Zoom对视频的命名非常单一,所以他很容易地找到了大量视频,而且任何人都能下载观看。
本文之中这种在相关政策高压下便可改的不良隐私惯例(功能侵犯个人隐私)暂且不论,更值得我们注意的,还是那些安全方面的重大漏洞。
血淋淋的安全漏洞几近成为行业“现状”
在ZOOM的安全漏洞中,最令人不安的是被夸大的安全功能(端到端加密),其在网站和营销材料中使用“端到端加密”字样,但实际上并非如此,Zoom既没有提供严格意义上的端到端加密功能,其加密强度也存在夸大嫌疑(加拿大公民实验室分析发现Zoom声称的AES-256加密并不存在,所有与会者都是以ECB模式使用单个AES-128密钥来加密音频和视频),这会让用户产生不必要的安全感。
同时目前就Zoom加密问题发声的密码学家都强调说,Zoom的集中式密钥管理系统和不透明的密钥生成是该公司过去的端到端加密声明以及当前混乱的消息传递的最大问题。
而这在近期并非是孤例,半年以来小米、猎豹、微盟都已因为隐私安全翻车,智安物联网在早期发布的“小米爆雷!智能监控安全和隐私真就不可兼得?”一文中也曾剖析过年初小米爆雷的原因和解决之道。但令人遗憾的是,多数行业内的公司并没有吸取过去的教训,依旧是拿着“成功企业”的“错题本”抄的非常开心。
成功的企业是怎么做的?
以某知名企业为例,其设备采用多种安全保护机制为个人隐私保驾护航,例如密码提醒、保护机制,其设备会自动提醒用户修改初始密码,并对新密码评定安全等级,当多次输入错误密码设备自动将用户名锁定以防止“穷举法”的暴力破解;同时附带IP、MAC地址绑定功能。可将用户名与指定的IP、MAC地址进行绑定,绑定后仅该IP或MAC的主机可访问设备。而码流加密机制从根本上解决了设备网络应用隐私安全问题(其产品支持AES等码流加密算法,即使实时码流被截获,也会因为无密钥无法解码)。
而另一家知名企业在设备与云的传输方面,先是为设备本身增加出厂随机验证码,以保证无验证码则无法查看视频及图像。再通过数字证书的安全认证机制保证用户数据安全性,并且每个设备都有自己的密钥和证书来与服务器进行身份验证,获得会话密钥。最后在云存储数据传输过程采用ssl进行加密,保证传输过程中数据不会被截获。
差距巨大的背后,到底藏着什么样的原因?
引用网友一段夸张的描述“真正重视安全和隐私的公司,有CPO(首席隐私官)、有年薪千万的CISO、有充足的网络安全预算和人才、有完善的风险管理、风险控制和安全运营架构、有基于安全做顶层设计、流程设计和产品设计的“安全设计”思维、董事会同时还了解企业的安全现状、安全威胁和安全策略。这一切的一切那些爆雷的公司有吗”?
在网友怒怼那些“坑蒙拐骗”的公司背后,其实是一条过去的“逻辑”在作祟。在主流的思想中,高昂的加密成本只有本身实力雄厚的企业才能承担,中小企业受制于自身体量难以承担这巨额的成本,这就导致了很多中小企业甚至不乏大厂,平日里对安全相关随便投投,一旦出事就指望“应急公关”。但这种逻辑并不可取,或者说一句过分的话“没有金刚钻就别揽瓷器活”。
混乱之中的解决之道
客观来说,视频产品安全问题在整个行业内长期存在,对于企业说安全就是生命力、生产力、与创新力,如果没有安全作为保障,那对于旁人来说只能是“看你起高楼,看你宴宾客,看你楼塌了”。
在这种情况下,对于那些已经入局且无力对安全研发进行大力投入的中小企业来说,找一家专精于此的公司来“量体裁剪”不失为一种解决方式。毕竟你看印度,自己研发不行,武器全靠“买买买”不也一样开心么?
仅以云安全为例,一家专业的公司能对你进行风险评估,这是商业安全的重要保障,而其自身的不同云模型,也可以精准支持不同业务。同时他们还能帮你完成双重角色转换,以填补你的云计算生态链,最后一道自身的"防火墙"也必不可少。
这一切的一切,相比自身研发的投入,可以说是能令大多数中小企业可以接受的安全成本,相比“爆雷”之下的一无所有,用适当的投入为自己、为用户都买上一份原本就应该置办的“保险”,难道不美么?
结语
频频的“海外爆雷”为整个行业蒙上一层阴影的同时,也抹黑了那些优秀科技企业在全球的市场的品牌形象。加之当前无论国内还是国外用户,普遍对视频产品其自身的安全性难以辨别,如果长久以往,劣币驱逐良币的悲剧必将上演,届时雪崩之下,无论是企业还是用户,都将迎来“终焉”。
