关于zoom平台的问题：Zoom隐私安全问题大爆发 CEO袁征 过程真的太痛苦了

关于zoom平台的问题：Zoom隐私安全问题大爆发 CEO袁征 过程真的太痛苦了这本来是 Zoom 扩大用户群的绝佳机会，然而自 3 月 15 日以来，有多家媒体纷纷爆出学生使用 Zoom 上课却遭遇不明人士乱入的事故，从中学生，到大学教授，再到瑜伽老师都没能幸免。3 月中旬，北美 COVID-19 疫情愈发严重，不仅各大公司开始强制要求员工在家工作，很多学校也纷纷开始远程授课。虽然 Zoom 此前一直主要针对企业用户，但作为一款可以免费使用的在线视频会议软件，也受到了很多老师的青睐，把它当成是“云上课”工具。经统计，Zoom 经历的问题和质疑可以概括如下：面对大大小小的漏洞和质疑，Zoom 公司 CEO 袁征（Eric Yuan）于 4 月 1 日正式公开道歉，承诺在未来 90 天内暂停所有新功能开发，动用全部工程师资源解决现有问题，修复过程保持透明，并且出台有关用户数据的透明度报告，以重塑信心。同时还会强化现有漏洞悬赏计划，在每周三召开视频讲话，向社区透露问题修复

随着 COVID-19 疫情在全球蔓延，远程办公需求愈发增加，主打多人视频会议的 Zoom 公司受到了越来越多的关注，不仅全球用户数量激增，而且市值逆势上扬，较去年 IPO 翻了两倍，一时间风头无两。

可是人红是非多，Zoom 的确吸引了大量用户，但同时也吸引了网络安全专家和媒体的目光，旗下产品几乎是被放在显微镜下观察，成立 9 年以来从未有过。

结果就是近半个月以来，这款视频会议软件接二连三地被爆出安全和隐私漏洞，遭到 SpaceX 和 NASA 内部禁用，甚至连美国联邦调查局（FBI）也发出警告，提醒用户使用 Zoom 时注意网络安全问题，不要在社交媒体上广泛分享会议链接，以防机密信息被黑客获取。

（来源：Threatpost）

经统计，Zoom 经历的问题和质疑可以概括如下：

• 由于Zoom软件的默认设置，有人可以在未被邀请的情况下参与和恶意搅乱视频会议，迫使会议中止。这种恶搞行为被称为“Zoom-bombing（Zoom炸弹）”；
• Zoom宣称视频使用了端到端加密，但实际情况并非如此；
• 数据收集和使用不透明，没有透明度报告，而且iOS版Zoom应用会在未经用户授权的情况下，向Facebook发送分析数据；
• 桌面版Zoom程序存在漏洞，可能会泄露Windows和MacOS用户的登录凭据；
• 北美用户在视频通话时，Zoom偶尔会从中国服务器获取数据加密密钥。

面对大大小小的漏洞和质疑，Zoom 公司 CEO 袁征（Eric Yuan）于 4 月 1 日正式公开道歉，承诺在未来 90 天内暂停所有新功能开发，动用全部工程师资源解决现有问题，修复过程保持透明，并且出台有关用户数据的透明度报告，以重塑信心。同时还会强化现有漏洞悬赏计划，在每周三召开视频讲话，向社区透露问题修复的最新进展。

“我们欢迎您继续提出问题和提供反馈，我们一直以来的首要目标都是让用户满意，并确保我们平台的安全性和隐私性值得所有人信任，”袁征在信中写道。

损人不利己的“Zoom 炸弹”

3 月中旬，北美 COVID-19 疫情愈发严重，不仅各大公司开始强制要求员工在家工作，很多学校也纷纷开始远程授课。虽然 Zoom 此前一直主要针对企业用户，但作为一款可以免费使用的在线视频会议软件，也受到了很多老师的青睐，把它当成是“云上课”工具。

这本来是 Zoom 扩大用户群的绝佳机会，然而自 3 月 15 日以来，有多家媒体纷纷爆出学生使用 Zoom 上课却遭遇不明人士乱入的事故，从中学生，到大学教授，再到瑜伽老师都没能幸免。

很多人在社交媒体上大吐苦水，抱怨恶搞者故意大吼大叫，播放歌曲，还有人贴出种族歧视图片，甚至公然播放成人视频，迫使授课或会议中断，造成了十分恶劣的影响。

更过分的是，如果会议主持人不熟悉 Zoom 设置，那么即使封掉入侵者，他还会换个马甲重新进入，导致会议根本无法继续。

由于这种现象不在少数，故而得名“Zoom-bombing（Zoom炸弹）”。

南加州大学校长 Carol L. Folt 专门发表公开信谴责这种行为，“我对学生和教师不得不亲眼目睹这种卑劣的行为感到非常难过。”

在缺乏有效监管，而且很多人都闲在家里极度无聊的情况下，模仿这种行为的风气愈演愈烈，一度有人在某些论坛上传授如何制造“Zoom炸弹”。

好多人还会沆韰一气，在社交平台上召集战友，有针对性地联手破坏一场会议。云会议本身的机制导致人们很难追踪他们，更别提惩罚他们。

必须强调的是，不怀好意的恶搞者是罪魁祸首，但 Zoom 软件面临的舆论谴责并非无理。

由于 Zoom 会议 ID 的规律性（9-11位数字），一名网络安全专家已经编写出程序，可以自动扫描未经加密的会议，一小时就能搜到 100 个左右。

图 | 安全专家晒出 Zoom 会议 ID 自动搜索工具（来源：Twitter）

对于捣乱者来说，Zoom 的很多默认设置就相当于敞开大门，欢迎他们来搞事情；这大大增加了会议受到不速之客打扰的几率。比如改版前的会议链接默认不需要密码，任何人都能加入，同时“允许其他与会者共享屏幕内容（无需主持人批准）”也是默认选项。

这两条合起来就好比告诉陌生人：这是我家地址，不用钥匙就能进，来了就别客气，把这当成自己的家。相比之下，微软等公司的同类云办公软件更加克制，通常默认由会议主持者控制屏幕共享等功能。

好在 Zoom 亡羊补牢，几周内连续出台了补救措施和设置指南，包括如何让会议更安全的教程，以及默认开启会议密码和等待室选项，防止有人不请自来，或者在主持人准备好之前进入会议捣乱。

图 | FBI发出警告，“Zoom炸弹”入侵视频会议的事故数量激增（来源：FBI）

为了进一步打击“Zoom炸弹”，美国司法部下属的密歇根州东区检察官办公室发表声明称，非法入侵视频会议的人可能会被指控犯有州或联邦罪行，任何受到骚扰的人都可以向 FBI 举报。

“你觉得Zoom炸弹很好玩？让我们走着瞧，看看你被捕了之后还觉得它好玩吗？”州检察官 Matthew Schneider 直言不讳。

端到端加密危机

退一步讲，在“Zoom炸弹”事故中，Zoom 出现设计逻辑漏洞情有可原。毕竟疫情发酵之前，其目标群体是企业内部员工，类似“无需允许就可以共享屏幕”的产品逻辑，基于会议参与者都是受信赖的前提考虑也说得过去，并非触及网络安全的根本问题。然而它接下来被曝光的安全问题，则将其面临的考验提升了一个新高度。

首先是 Zoom 宣称其视频经过端到端加密，这被广泛认为是最私密的互联网通信方式，能有效保护用户的通信内容不被第三方（包括 Zoom 自己）接触到。

但据 The Intercept 报道，实际上 Zoom 仅在部分文本信息和部分模式的音频中使用了端到端加密，而在至关重要的视频和电话通信方面则并未使用这一加密方式。

事实上，Zoom 曾在一份官方文件中承诺，将使用端到端方式对会议内容进行加密，甚至是在加密模式下使用该应用进行视频会议时，界面上方还有“正在使用端到端加密” 的字样。

但被问及视频会议是否在实际上通过端到端加密时，Zoom 的发言人表示：现阶段，不可能为 Zoom 平台上的视频会议启用端到端加密。