ZOOM到底安全嗎?

ZOOM到底安全嗎?

 

在 2021年度 RSA 大會上,ZOOM 表示自己正專注於 ZOOM 雲端會議中的端到端加密。 該公司解釋了開發者重點關注這個問題的原因,解釋了他們為加強通信安全而做出的規劃,還有其他一些安全方面的新功能,值得使用者期待。

一點歷史

新冠疫情迫使許多人開始了長期的遠端工作,通過電話會議軟體和同事、親人聯繫。  ZOOM 的高知名度引起了安全專家和網路罪犯們的興趣,因此大家很快發現 ZOOM 這個平臺的安全性並沒有那麼強。 比如說,在 ZOOM 軟體中就發現了一些可以被攻擊者利用的漏洞,能通過網路攝影機和麥克風對受害用戶進行監聽。 這種惡劣的線上犯罪行為甚至有一個專門的稱號,叫 Zoombombing(ZOOM 轟炸)。 即使Zoom方面反應迅速,布下天羅地網來防範,但問題依然沒有得到解決。。

ZOOM有一個廣受詬病的問題,就是ZOOM 平臺使用的是點對點加密 (P2PE)  ,而不是端到端加密(E2EE)。

 

點對點(P2PE)”和”端到端(E2EE)”

 

乍一看,這兩種體系區別不大,都可以對使用者交換的數據進行加密。 但是在點對點加密中,伺服器可以訪問使用者的資訊,而端到端加密會在寄件者的設備上就對資訊進行加密,並且只會在收件者一端解密。 然而這種細節有可能引發問題,ZOOM 的開發人員在大會上強調了這一點:

 

  • 網絡犯罪分子或許會破壞伺服器,竊取伺服器中存儲的加密密匙,然後以被正式邀請的身份混入會議,或者套取會議資訊。
  • 雲服務供應商或 ZOOM 員工中的機會主義分子,有能力取得密匙並盜取用戶數據。

 

大家都不希望自己和親朋好友的私人對話(更不用說機密的商業談話)遭到公開。 不僅如此,假如駭客僅僅將盜取的密匙用於被動竊聽,那他們的行為是非常難以偵測到的。

 

端到端加密可以解決這些問題,它只會把解密密鑰儲存在用戶的設備上,再無他處。 這樣一來,就算伺服器被駭,入侵者也無法對視頻會議進行竊聽。

 

因此,大家自然希望 ZOOM 能改用端到端加密,這種加密方式已經成了眾多通信類 APP 中事實存在的通用標準。

 

ZOOM 端到端加密現狀

 

開發人員接受了批評,開始採取措施提高平臺的安全性,包括實現端到端加密。

2020年秋季以來,ZOOM 開始對音視頻通話和聊天使用端到端加密。 啟用加密之後,ZOOM使用「會議加密密匙」對參與者的數據進行保護。 這種密匙不會存儲在 ZOOM 的伺服器上,因此就算是開發人員也無法破解通話內容。  ZOOM 平臺只會保存加密的使用者ID和一些會議元數據,比如通話時長。

 

為了防止外部連接,開發人員還加入了心跳功能,這是會議主持人的 APP 自動發給其他用戶的信號。 除了其他必要內容,它還包含一個參會人員的清單,會議主持人只會給清單中的人員分發當前的解密密匙。 如果有名單之外的人參與到會議中,所有人都會馬上發現事情不對頭。

 

阻止不速之客的另一個方法,是在所有出席者到齊之後鎖定會議,此功能會使用合適的標題表示會議被鎖定。 會議只能手動鎖定,一旦鎖定之後,外人就算有會議 ID 和密碼,也不能再加入會議。

 

ZOOM 還能通過替換加密密鑰來防止中間人攻擊。 為了避免遭到外人竊聽,會議主持人可以隨時點擊按鈕,根據當前會議加密密鑰生成安全代碼。 這種代碼同樣是為其他會議參與者自動生成的。 主持人需要報出這一代碼,如果其他人的代碼都能與其吻合,就說明大家使用的密碼都是一樣的,因此沒有問題。

 

最後,如果會議主持人離開了會議,主持人由其他人擔任,這時 APP 就會對這種輪換進行通知。 如果其他參會者覺得可疑,可以暫停機密談話,避免出問題。

 

當然,如果您只是和朋友通過 ZOOM 聊天,您或許用不上這麼多的安全機制。 但當這種虛擬聊天室中進行的是商談或其他機密談話時,這些安全工具確實能有所用途。 因此,重要會議的參與者應該對這些功能有所瞭解,知道該如何使用這些功能。

 

儘管有所進步,ZOOM 的開發人員承認還有很長的路要走。  2021年度 RSA 大會上的討論也展現了 ZOOM 未來的發展道路。

 

ZOOM 的未來走向

 

開發人員確定了許多威脅,卻未能作出有效的對策。 威脅其一,是冒充成受邀用戶的攻擊者對會議進行滲透。 其二,是端到端加密保護無法阻止攻擊者竊取一些元數據,比如通話時間、參與者姓名和 IP 位址。 風險清單中還包括程式漏洞,這也無法排除。 理論上,網路犯罪分子還可以在 ZOOM 中嵌入惡意代碼。

 

考慮到這些威脅, ZOOM 的開發人員列出了以下目標:

  • 除了所有被邀請和批准的參與者之外,防止任何人參加活動;
  • 防止從活動中被移除的參與者再次連接到活動;
  • 防止任何未參加會議的人干擾會議;
  • 讓真正的出席者可以向 ZOOM 安全團隊舉報濫用行為。

 

發展路線

 

為了實現這些目標,開發人員創建了分為四個階段的路線圖,第一階段已經實施。 如上文所說,他們已經更改了用於管理會議加密密鑰的系統,以使其僅存儲在用戶的設備上,還改進了防止外部人員加入會議的保護手段。

 

而在第二階段中,他們計劃引入不依賴 ZOOM 伺服器的使用者身份驗證,基於涉及獨立身份供應商 (IDP) 的單點登錄 (SSO) 技術。

 

這樣一來,即使有入侵者取得了對 ZOOM 伺服器的控制權,也無法偽造使用者的身份。 如果某人假裝成受邀者加入了一個活動,卻使用了新的公鑰,ZOOM 就會對其他人發出提醒,避免潛在的威脅。

 

第三階段會引入透明度樹的概念,將所有身份存儲在經過身份驗證的可審核數據結構中,以確保所有使用者對任何身份都具有一致的視圖,還能檢測模擬攻擊。 ZOOM 這種加強保護的目的是使平臺免受中間人攻擊。

 

最後一步,第四階段,開發人員計劃做到在使用者從新設備連接時,可以更容易地驗證身份。 當有新的設備需要連接時,使用者需要確認其合法性,例如通過掃描受信任的手機或電腦螢幕上的二維碼。 這可以阻止攻擊者將設備連結到其他人的帳戶。

 

無需作出犧牲的安全

 

在實施額外安全機制時,一定要考慮到對普通使用者造成的影響。 ZOOM 的開發人員也在考慮這方面。 例如,有一種創新提議是通過使用個人設備雲端。 這種技術能簡化向帳戶添加新設備的過程,同時還能加以保護。

 

例如,如果您經常使用電腦進行 ZOOM 通話,但隨後使用手機下載 ZOOM 登錄,當您再次電腦上打開 ZOOM 時,你會看到一個新的設備已經登錄。 如果您批准,兩個設備都會連結到單個雲,其他會議參與者會知道這是您的活動,而不是什麼不速之客。

 

設備雲端還允許您檢查哪些設備已登錄到您的帳戶,還能解除其中任何設備的受信任狀態。 最重要的是,開發人員打算再添加一個選項,以便切換到端到端加密的會議,以及許多其他有用功能。

 

ZOOM 能變得更安全嗎?

 

一句話回答,是的,ZOOM 的安全性正在不斷提高。  ZOOM 公司已經做了很多工作來防範外界的干擾,並且正在開發更多保護性工具。 另外,我們很高興看到 ZOOM 正在嘗試兼顧安全性與易用性。

當然,這在很大程度上取決於 ZOOM 的使用者。 與所有在線內容一樣,視頻會議的用戶應該具有常識,還要對可用的保護機制有所瞭解。 重要的是要注意平台發出的警告,當遇到可疑狀況,無法避免數據洩露的風險時,請不要進行機密談話。

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: