rss信息聚合

ZOOM被曝暗藏漏洞!骇客窃听你的线上会议

2020-03-30 14:05:56 作者:黄子洪 来源:TechDaily 浏览次数:0 网友评论 0 | Share to

【TechDaily电子报2020年3月28日综合报导】随着武汉肺炎在全球爆发,各地封城锁国让可在家办公的ZOOM线上会议软体爆红,但同时被曝出安全漏洞,随时可能被骇客入侵窃听。

全球武汉肺炎确诊病例人数增多,在家上班成为潮流,不论政府机关或者许多民间企业都需要解决线上共同开会问题,这时候前段使用免费的软体ZOOM大受欢迎,然而外界较少注意到的是,这家有中国背景的公司在今年被全球安全研究公司Check point发现重大资安漏洞。

据《信傳媒》报导,各国不少政府部门已经选定软体ZOOM当作线上共同会议工具,该软体提供所有参与者的即时画面、影音的传输,当然,资安的漏洞也在这里,若政府敏感部会的会议内容外泄,衍生的政治责任,后果不堪设想。

ZOOM会议软体提供免费:获得中共表扬

ZOOM原先在美国上市的中资背景公司,客户遍及180个国家,它曾被流亡美国的中国富豪郭文贵爆料与抖音等获得中国共产党的表扬,由于前面时段使用免费,ZOOM很快就受到市场的欢迎。

然而根据科技新闻网站《THE VERGE》在今年1月28日的报导中指出,ZOOM存在重大资安漏洞,骇客透过ZOOM可窃听线上会议。

这个漏洞是国际资安公司Check Point发现的,报导指出,ZOOM会议所发出的9到11位数会议参加代码存在缺失,可以让骇客轻易的“猜到”,透过猜中的代码而默默地参加了整个会议,整个Check Point研究团队的成功率是4%。

“这有点像赌Zoom轮盘”Check Point的网络研究主管Balmas表示,“这意味着,如果你发起了一场会议而且正在进行视讯会议,还有多个同事一起开会,你可能不会注意到是否有人坐在那里听你们说话。”

多次被爆资安漏洞:公司宣称逐渐改善

当Check Point揭露之后,ZOOM表示会马上改善这个问题,改采用“更强加密强度”的密码代替了随机生成的会议ID号码,为会议ID号码添加了更多数字。

去年,研究员Jonathan Leitschuh也曾在Mac上的ZOOM发现一个程序漏洞,让骇客得以劫持使用者的相机画面,最后该公司停止使用当地伺服器来解决这个问题。

瑞典科技大厂转投资的台湾雪乔公司执行长周颂钧表示,ZOOM还有另一个为人诟病的问题,当然在其他手机APP上也曾发生过,就是当你要把手机的摄影镜头、麦克风授权给它的时候,它给你勾选的授权项目还多了其他部分,有些情况下不勾选“同意”就没办法使用。

当然,他强调,很多软体都有漏洞,也是一边发现一边改进,要不要使用,就像消费者选择把钱存在某一家银行一样,是信心问题,看这个软体能不能获得消费者的信赖。

在瑞典,正规的公司,几乎每天都视讯会议,长期以来都流行在家上班,但不会去用ZOOM,而是用操作系统常看到的Outlook 365、skype等。

在家办公成为趋势,共同电邮暗藏陷阱

此外,因应校园可能遭到武汉肺炎入侵,周颂钧指出,瑞典的大学线上课程,则是用webex、gotomeeting等软体。若要共同协作一份文件,则常用Google云端储存、微软的SharePoint、onedrive等相关应用。

然而在家上班除了共同会议可能遭骇客入侵,由于大量仰赖电子邮件往来,一般的收发电邮可能也藏有资安漏洞风险。

区块链资安应用新创公司“区块科技 BlockChain Security”指出,电子邮件诈骗(Business Email Compromise, BEC)是一场由犯罪组织精心策画的骗局,由美国联邦调查局(FBI)旗下的网络犯罪投诉中心(Internet Crime Complaint Center ,IC3)在去年总计46.7万件的资安投诉案当中,数量仅占全数投诉案件的 5%,但造成的损失却高达去年网路犯罪损失总额的50%。

由于办公室信件常见一人发给多人,其他人依同一封信回覆,带了数十个电子邮件信样而让人容易忽视,诈骗邮件通常伪装成相似的电邮信箱,潜伏数月,参与了整个过程,而目前市面上也常见以ChkSender软体来挡电子邮件诈骗。

 

[错误报告] [推荐] [收藏] [打印] [关闭] [返回顶部]

  • 验证码:

最新图片文章

最新文章