前言ZOOM麻烦不断全部漏洞一览屏幕共享功能中的漏洞漏洞详情修复方案与Facebook 共享数据漏洞详情修复方案参会者注意力跟踪漏洞详情修复方案参与者IP地址泄露漏洞详情修复方案误导性的安装提示漏洞详情修复方案LinkedIn销售导航仪功能漏洞详情修复方案内置的web服务器漏洞详情修复方案UNC安全问题漏洞详情修复方案zoom炸弹漏洞原理修复方案数据中心错误划分漏洞原理修复方案会议加密漏洞原理修复方案Zoom安全性问题可能是故意设计的功能zoom的改造计划zoom不适合群体参考资料
前言
人红是非多,zoom用户在疫情期间踊跃发展,但也引起人们对网络安全方面的担忧,zoom公司在应对安全公关时也进退失据,股价大跌,这说明网络安全问题已经成为决定企业是否蓬勃发展的重要因素。浏览国内媒体报告的zoom新闻,基本都是抄抄改改外媒介绍zoom的风险,几乎没有细致的技术分析。
zoom麻烦不断
zoom创始人在福布斯杂志的专访《Zoom 创始人:如果不能成为最安全平台,考虑开源 Zoom 代码》提到,zoom决定在未来90天内动用所有资源,更好地识别、处理和主动修复安全和隐私问题。它还将与第三方专家和有代表性的用户进行全面的审查以了解和确保其服务的安全性,停止开发新功能致力于全力解决网络安全问题。上一次这么做的公司是微软,参考本公众号文章《从微软、FB、华为的网络安全备忘录说开去》。笔者不禁想说:千万别开放源代码,不然漏洞更多。现在为大家整理介绍下每个漏洞修复方案。他山之石,可以攻玉,也可以给关注类似问题的同行作为参考(teamviewer、钉钉、QQ警告)。
全部漏洞一览
屏幕共享功能中的漏洞
漏洞详情
这是18年tenable报告的漏洞,在Zoom会议中与会者可以选择共享屏幕。可以选择将控制权移交给其他与会者,就是类似于QQ的远程桌面查看和远程控制功能,这个功能有内置安全措施:参与者点击屏幕控制选项,发出请求/授予方法请求控制,会弹出一个提示给当前共享桌面的人员,必须单击“允许”(控制我的桌面),然后将正确的“ support_response_type ”值发送给Zoom服务器才能共享屏幕。不同于端到端的通信加密,“我容许别人控制我的电脑”的数据包要发送给zoom服务器,攻击者可以按照zoom协议伪造udp包发送给zoom服务器的8801端口,直接让任何人可以控制当前桌面。
远程桌面控制服务通信机制
udp包没有加密也会导致攻击者可以伪造任意参会人员的聊天记录。
修复方案
zoom服务器在处理消息时如果确定该消息不是来自TCP通道的,则进行附加检查以查看该数据包是否包含敏感功能ID,过滤出有害的UDP数据包。
与Facebook 共享数据
漏洞详情
即使没有Facebook帐户,Zoom iOS App也会将数据发送到Facebook。类似于安卓系统使用友盟的广告SDK上报了用户信息。任何IOS用户下载并打开zoom后将连接到Facebook的Graph API。Graph API是开发人员从Facebook上传下载数据的主要交互方式,上报用户设备的详细信息(例如型号,所连接的时区和城市,所使用的电信运营商以及由用户设备创建的唯一广告客户标识符)。后台可以使用广告定位用户。Zoom的隐私政策声明,该公司可能会收集用户的“ Facebook个人资料信息(当您使用Facebook登录我们的产品或为我们的产品创建帐户时)”,但并未明确提及会发送任何没有Facebook账户的客户的数据。
修复方案
3月27日IOS版本删除Facebook SDK并重新配置该功能,以便用户仍然能够通过其浏览器登录Facebook。用户需要一次更新升级zoom客户端的最新版本使这些更改生效。
参会者注意力跟踪
漏洞详情
Zoom呼叫的主机可以查看参与者是否打开了“ Zoom”窗口,这意味着他们可以监视人们是否可能正在关注。如果一名参会者超过30秒未聚焦Zoom,则主持人会在会议或网络研讨会的参会者面板中看到一个指示符。
image-20200406112000480
修复方案
4月1日删除了参会人员的注意力追踪功能。
参与者IP地址泄露
漏洞详情
管理员还可以查看每个参与者的IP地址,类似于彩虹QQ显IP。
修复方案
移除该功能
误导性的安装提示
漏洞详情
zoom安装时通过误导性的提示让安装程序自动化,申请mac系统的最高权限时需要用户输入密码,zoom提示为“安装包将允许一个程序已检测程序是否可以正确安装”,这种提示一般是恶意软件的利用手法。
修复方案
修复安装环节的问题,以下是开发日志
image-20200406113058293
LinkedIn销售导航仪功能
漏洞详情
注意力追踪器原本是用于企业培训的 ; 在公司的电话会议上,与一个显示用户工作信息的 LinkedIn 产品捆绑在一起,似乎并不危险。但是对于非公司的场景下,使用该插件有信息泄露的嫌疑。
修复方案
4月1日删除了LinkedIn销售导航仪功能。
内置的web服务器
漏洞详情
这个漏洞类似于QQ客户端开启本地端口用localhost方便快捷登录的问题。详情参看https://www.freebuf.com/vuls/208177.html,是本地开启了19421的web端口,卸载后也不能移除,方便调用浏览器直接打开摄像头,被称为“ZOOM应用被曝严重安全漏洞 任何网站可劫持Mac摄像头”,这就是为什么安全专家建议用胶带盖住电脑摄像头了。
学习扎克伯格 你应遮住电脑的网路摄像头!
修复方案
zoom公司和苹果合作测试,为Mac用户推送了一项静默更新,删除了这个易受攻击的组件。苹果经常对Mac进行静默更新,拦截已知的恶意软件,这类似于反恶意软件的服务,不过,苹果很少公开对热门应用采取行动。
UNC安全问题
漏洞详情
这种攻击涉及SMBRelay技术,其中Windows系统在尝试连接和下载托管文件时,会自动向远程SMB服务器公开用户的登录用户名和NTLM密码哈希。就是说对windows用户发送黑客ip地址c$,黑客就可以获取到凭证信息。
修复方案
4月1日发布的zoom客户端不再支持远程UNC路径。
zoom炸弹
漏洞原理
这个问题是指zoom的会议id过短,任何人可以通过挨个尝试的方式加入会议室。诸如“ Zoombombing”之类的事件变得如此普遍,黑客和网络喷子使其他用户的 Zoom 会议崩溃,以至于 FBI 不得不在周四发布防止此类事件发生的指导方针。
内阁会议也使用zoom软件
接入上面的会议id,你就可以参加英国内阁会议了。
修复方案
在易用性和方便的权衡下,zoom为用户提供了多项安全建议:为Zoom会议添加密码、使用等候室功能、不要分享个人的会议ID、每个人加入完毕后锁定会议、不要发布Zoom的会议图片、不要发布会议的公共链接。
数据中心错误划分
漏洞原理
在正常操作期间,Zoom客户端会尝试连接到用户区域内或附近的一系列主要数据中心,网络拥堵时由备份数据中心提供服务,zoom原本计划确保中国境外的用户不会通过Zoom的中国大陆数据中心(包括基础设施在内),会议数据使用澳大利亚的通信提供商Telstra和Amazon Web Services提供设施。在今年2月份扩容时将中国的数据中心加入了备份计划,这可能使非中文客户端连接到中国区域。
修复方案
这个问题有违反GDPR的嫌疑。zoom方面将中国大陆的数据中心从二级备份的白名单中删除,以供中国以外的用户使用。确保Zoom for Government云没有影响,Zoom for Government云是一个单独的环境,供政府客户和任何其他要求该环境规格的用户使用。Zoom拥有分层的保护措施,强大的网络安全保护以及适当的内部控制措施,以防止未经授权的数据访问,包括Zoom员工(无论如何路由数据以及在何处路由)。
会议加密
漏洞原理
Zoom 此次曝光的一系列安全漏洞中,最主要的是没有在视频通话中使用端到端加密,仅在部分文本信息和部分模式的音频中使用了这一加密方式,但却在视频应用中显示Zoom is using end to end encrypted connection。
zoom的错误安全感
端到端是指参加会议的两个人之间,但是实际上zoom错误的理解为是从参会者到zoomserver之间。打个比方是参会者以为自己用的是对讲机,其实用的是电话,zoom作为基站可以获取到通信记录。
通信都经过zoom后台解密
Zoom会议使用宣称使用256位AES密钥进行保护,但Citizen Lab研究人员证实,所使用的密钥实际上仅为128位。而且是只在 ECB 模式下使用了简单的 AES-128 密钥,这个ECB模式是AES可用模式中最差的一种。在以ECB模式加密的图像中,企鹅的轮廓仍然可见。
ecb显示了企鹅轮廓
核心密钥由 Zoom 的服务器产生,部分密钥来自于中国,中国总共有 5台服务器,美国 有68台服务器,Zoom可能有法律义务向政府当局披露这些密钥。
zoom网络协议介绍
修复方案
zoom的反馈是:由于我们平台的独特需求,我们的目标是利用加密最佳实践来提供最大的安全性,同时还涵盖我们支持的大量用例。我们正在与外部专家合作,还将征询社区的反馈,以确保针对我们的平台进行了优化。
这个问题比较难修复,因为会议的场景是有临时人员加入的情况,难以处理密钥的分发;密钥的加密解密耗费性能资源,会增加zoom端的服务器成本;影响zoom的会议体验,笔者做过P3VMOS的质差视频分析,知道如果视频加密zoom方就不能依据视频质量进行协议优化,最终还是影响用户体验。
Zoom安全性问题可能是故意设计的功能
很多产品功能旨在让会议更流畅,所以从功能设计减少了隐私或安全性。前 Facebook 安全主管、现任斯坦福互联网天文台(Stanford Internet Observatory)负责人Alex Stamos表示,Zoom 的问题包括从愚蠢的设计到严重的产品安全缺陷,其中许多缺陷让他十分担心。批评产品有安全风险当然容易,但是解决问题总是不容易。zoom已经发展了9年,修复涉及的场景、安全设计,开发,部署都需要企业级方案的支持。很多费心开发的功能因为安全原因被移除,说明在不同的企业发展阶段,客户对安全的要求是变动的,安全应该未雨绸缪。
zoom的改造计划
- 暂时冻结新功能开发,以专注于安全和隐私
- 与独立专家进行审查,以了解新客户所需的新安全功能
- 编写有关数据请求的透明度报告
- 扩大其“漏洞赏金”计划
- 每周举行一次网络研讨会,以提供隐私和资讯安全更新
zoom不适合群体
- 担心间谍活动的政府
- 担心网络犯罪和工业间谍活动的企业
- 医疗保健提供者处理敏感的患者信息
- 活动家,律师和新闻工作者从事敏感话题
参考资料
https://blog.zoom.us/wordpress/2020/04/03/response-to-research-from-university-of-torontos-citizen-lab/
https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/
https://www.freebuf.com/vuls/208177.html
《SDL安全体系实践》话题材料分享
超硬核!使用图数据技术发现软件漏洞
