首页科技快讯再议Zoom：这些安全隐私问题你都有数吗？

再议Zoom：这些安全隐私问题你都有数吗？

来源：晰数塔互联网快讯时间：2020年04月15日 11:11

神译局是 36 氪旗下编译团队，关注科技、商业、职场、生活等领域，重点介绍国外的新技术、新观点、新风向。

编者按：新冠疫情影响了诸多行业，却助推了线上服务业的发展，Zoom作为典型代表已引热议，神译局相关文章：《Zoom不是问题，“围着会议转”的流程才是问题所在》和《新冠大流行下，没人比Zoom更懂危机的内涵》。本文列举了用户需担心的部分安全隐私问题，并提供了一些应对措施。本文编译自Fast Company，作者贾里德·纽曼（Jared Newman），原文标题“The Zoom privacy and security issues you still need to worry about”。

图片来源：Pexels

上周，Zoom首席执行官袁征（Eric Yuan）在其博文种声称要处理由记者和外部安全研究人员发现的一系列问题。Zoom的视频会议服务帮助远程工作者度过新冠危机，它已对其视频会议软件进行了优化，包括增强预防恶意访客的默认保护，删除将数据秘密发送到Facebook的代码，撤回能使某些用户从其他聊天参与者中收集个人数据的领英（LinkedIn）营销工具，停用让雇主看到员工在视频通话中是否注意力集中的小工具。

尽管Zoom仍在进一步提高其安全性和隐私性，并且冻结新功能开发90天，用户仍需谨慎行事。没有任何服务的安全措施是万无一失的，况且Zoom本身是如此的复杂，用户很容易迷失在它花哨的功能中。在参加下一次Zoom会议之前，你需要了解下以下这些安全隐私问题：

一、“Zoom炸弹”

“Zoom炸弹”是指某恶意用户获得对视频会议的访问权并骚扰与会者。例如，一些学校已报告在他们的虚拟教室中出现了种族主义信息、死亡威胁和色情信息，纽约市的学校甚至禁用Zoom以阻止威胁。当会议没有任何密码保护为公开状态时，就可能会发生此类事件，某些攻击者甚至还使用软件来猜测未列出的Zoom房间号。即使会议受到密码保护，公开分享完整的会议地址也会促发“Zoom炸弹”。

上周，Zoom更改了其默认设置来遏制“Zoom炸弹”。现在，所有会议都默认要求输入密码，甚至包括4月5日Zoom做出改变前的所有会议。所有与会者都必须进入“等候室”，直到主持人允许他们加入为止。在教育计划，屏幕共享改为默认仅限教师使用。虽然这些更改应有助于遏制“Zoom炸弹”，但并不能完全消除风险。如果你担心有人入侵你的视频会议，可以采取以下以下步骤：

不要公开分享完整的Zoom会议链接，因为该链接内置了密码加密版本，且允许任何人在不知道会议密码的情况下也可以一键加入会议。因此对链接保密是很重要的。

如果你担心被邀请者无意间与陌生人分享完整的会议链接，请转到Zoom的个人资料设置页面，并禁用“一键入会”功能。记住，这仅适用于Zoom会议邀请中的链接。如果你从已经进行的会议中复制邀请地址，它将仍然嵌入用于一键访问的密码。

尚未制定教育计划的老师可将“屏幕共享”设为“仅限主持人”，这样学生就无法搞恶作剧了。

科技记者乔西·康斯汀（Josh Constine）建议禁用文件传输，预防有人试图传递恶意文件。

如果你坚持分享一键式地址或不想启用等候室，科技记者格列·弗莱施曼（Glenn Fleishman）建议在你的初始邀请中给出一个链接预告，然后在会议开始之前发送该链接。这可以减少预留给潜在黑客的时间。

如需更多保护，可考虑在所有被邀请者都加入后锁定会议。选择“管理参与者”，在参与者菜单中选择“更多”，然后选择“锁定会议”。

图片来源：Pexels

二、个人信息泄漏

科技记者约瑟夫·考克斯（Joseph Cox）上周报道到，Zoom允许用户查看具有相同电子邮件提供商的其他用户的电子邮件地址，以及相应的个人资料照片。这里指Zoom的“公司目录”功能，该功能旨在允许组织内部人员查找同事。尽管Zoom阻止了该功能与Gmail和Yahoo等流行的电子邮件域名一起使用，但它未将诸如例如荷兰的dds.nl和quicknet.nl这一些较小的电子邮件提供商列入黑名单。

目前，唯一的办法就是向Zoom投诉。如果你使用一家小众电子邮件提供商，并且在Zoom应用程序的“联系人”部分中发现了不熟悉的人，你就需要向Zoom申请，让其将该邮件域名列入“公司目录”黑名单。

三、录音泄漏

由于Zoom对录音所采取的命名方案，一些用户认为是私有的视频其实可以在网上搜索到。《华盛顿邮报》记者德鲁·哈威尔（Drew Harwell）曾报道，其中一些链接已经出现在YouTube和Vimeo上，而另一些链接则出现在亚马逊存储空间中，这些用户可能并不知道它们公开了。

有人可能会说，用户应该更加注意他们上传会议记录的方式和位置，但是正如记者哈威尔所报道的，“Zoom工程师绕过了其他视频聊天程序的常见安全功能，例如要求人们在保存音频前使用唯一的文件名。” Zoom尚未更改其命名方案。

四、文字记录泄漏

你可能会认为Zoom中的私人文字聊天记录将始终保持私人状态，但在特定条件下并非如此。福布斯撰稿人凯特·奥弗莱厄蒂（Kate O’Flaherty）报道称，如果主持人使用“在此计算机上记录”选项本地记录Zoom会议，则主持人与其他参与者之间任何的私人聊天都将包含在一个文本文件中，与会议视频一起保存。如果主持人之后与同事分享整个会议文件夹，那么他们就可以查看这些聊天记录。

由于一些言辞泛泛的Twitter热帖，这种说法变得有些夸张，所以需要进行一些额外的解释。如果没有人记录会议，或通过Zoom自己的云存储选项保存会议，那么Zoom不会保存任何私人聊天。而且，即使主持人在本地电脑上记录会议，也只有该主持人的私人聊天才会显示在日志中。

当然，一个足够谨慎的会议主持人总是可以在与其他人分享会议记录之前删除或修改这些文本文件，但更安全的方法是不要在Zoom上留下任何可能使你遇到麻烦的内容。如果你必须对你的同事说一些不好的话，找一个更私人的场所。

五、“端到端”加密漏洞

尽管Zoom在其营销材料和白皮书中声称视频通话可以进行端到端加密，但该公司上周承认，这一说法与安全研究人员的理解不同。的确，当与会者在电脑或移动设备音频上都使用Zoom的应用程序，未录制会议并且未使用Zoom的“连接器”功能时，Zoom不会在传向每一用户的任何时候解密会议内容。但是正如“拦截号”（The Intercept）和“公民实验室”（The Citizen Lab）所报道的那样，Zoom使用的是其自身可从技术上获得会议内容的加密形式。

因此， “公民实验室”建议，担心间谍活动的政府机构或企业应避免使用该服务，处理患者数据医疗保健提供者也应避免。维权人士、律师和新闻记者在处理敏感信息时也应避免使用Zoom。科技记者洛伦佐·弗朗西斯奇比奇拉（Lorenzo Franceschi-Bicchierai）提出了几种端到端加密的替代方案，包括Apple的FaceTime和Wire的会议订阅。