客戶花錢雇黑客，竟是為Zoom找bug：風(fēng)口浪尖的視頻會(huì)議No.1，安全問題如此魔幻

魚羊 白交 2020-04-21 12:55:08 來源：量子位

白交 魚羊 發(fā)自 凹非寺
量子位 報(bào)道 | 公眾號(hào) QbitAI

客戶花錢找黑客，幫你產(chǎn)品找Bug……

這樣的客戶哪里找？這樣的產(chǎn)品又究竟有怎樣的福報(bào)？

Zoom，疫情之下最火爆的視頻會(huì)議公司，又上演了電影一樣的商業(yè)劇情。

繼沒實(shí)現(xiàn)端到端加密、北美的視頻通話繞道中國、一分錢能買71個(gè)Zoom賬號(hào)之后……

風(fēng)口浪尖上的Zoom，又被其客戶Dropbox的前工程師曝出：客戶早就對(duì)Zoom的安全性感到瑟瑟發(fā)抖。

據(jù)紐約時(shí)報(bào)報(bào)道，Zoom的客戶之一——Dropbox在2018年就開始付錢給頂級(jí)黑客，讓他們幫忙找出Zoom的漏洞。

結(jié)果，不僅安全漏洞的數(shù)量和嚴(yán)重程度令人感到震驚，在他們將漏洞報(bào)給Zoom后，Zoom的修復(fù)速度也令人頭大。

比如，黑客在去年發(fā)現(xiàn)了Zoom的一個(gè)漏洞：通過Zoom，攻擊者能夠獲取蘋果macOS用戶的計(jì)算機(jī)控制權(quán)。

而Zoom花費(fèi)了整整三個(gè)月的時(shí)間，在又有其他黑客發(fā)現(xiàn)了這一漏洞后，才終于完成了修復(fù)……

真魔幻啊。掏錢換掉不香嗎？

來自合作伙伴的push

Dropbox和Zoom自2018年起就達(dá)成了合作關(guān)系。

隨后，Dropbox將自身功能跟Zoom進(jìn)行了整合。

不過，Dropbox還是留了個(gè)心眼。出于對(duì)視頻會(huì)議系統(tǒng)漏洞危及自身企業(yè)安全的考量，Dropbox決定自行監(jiān)控Zoom的安全漏洞。

別人家付費(fèi)找黑客來debug，找的都是自家的bug。

而Dropbox的漏洞賞金計(jì)劃，卻是讓黑客給Zoom找漏洞。

對(duì)此，Dropbox是這樣解釋的：

在2018年，我們?cè)囆辛艘粋€(gè)計(jì)劃，將戰(zhàn)略合作伙伴和供應(yīng)商納入我們的漏洞賞金計(jì)劃。在此計(jì)劃下，Dropbox會(huì)向發(fā)現(xiàn)合作伙伴平臺(tái)中漏洞的安全研究人員提供獎(jiǎng)勵(lì)。

結(jié)果嘛，大概也無需多言。反正，連Dropbox自己的工程師都開始下場(chǎng)給Zoom抓蟲，并加裝了控件來控制Zoom帶來的風(fēng)險(xiǎn)。

據(jù)紐約時(shí)報(bào)報(bào)道，Dropbox的年度黑客競(jìng)賽上，他們搞了一個(gè)山寨版Zoom——Vroom， 要求研發(fā)人員對(duì)其進(jìn)行破解。而這樣做的目的，是教育自家工程師們不要像Zoom那樣犯安全錯(cuò)誤。

替別人Debug，最終目的當(dāng)然不止于找出漏洞。

Dropbox把這些bug都報(bào)給了Zoom，并催著Zoom進(jìn)行修復(fù)。

Dropbox前安全主管Chris Evans就表示，Dropbox這樣的早期介入明顯幫到了Zoom，否則Zoom爆火之后，漏洞問題恐怕會(huì)帶來更多麻煩。

只不過，Zoom此前修復(fù)漏洞的速度并不總是讓人滿意。比如前文提到的針對(duì)MacOS的深層攻擊，Zoom花了三個(gè)月的時(shí)間才解決。

甚至，向紐約時(shí)報(bào)爆料的前Dropbox工程師認(rèn)為，正是因?yàn)槲茨軓氐赘母锲浒踩珮I(yè)務(wù)，Zoom才陷入了如今的困境。

對(duì)此，Zoom創(chuàng)始人兼CEO袁征曾在2019年7月發(fā)布公告，就未能及時(shí)回應(yīng)漏洞問題道歉：

在過去90天的研究中，我們錯(cuò)誤地判斷了形勢(shì)，反應(yīng)不夠迅速，責(zé)任在我們。

不過道歉歸道歉，要是當(dāng)時(shí)就完全改好了，也不會(huì)在疫情之下被錘爆。

疫情爆紅之下的Zoom

短短幾個(gè)月內(nèi)，Zoom以一個(gè)只服務(wù)于公司業(yè)務(wù)的工作會(huì)議工具迅速轉(zhuǎn)變?yōu)槿虻谝坏囊曨l軟件。

前幾天，BondCapital合伙人、“互聯(lián)網(wǎng)女皇”Mary Meeker發(fā)布了最新一期的《互聯(lián)網(wǎng)趨勢(shì)報(bào)告》。其中就提到，以Zoom為代表的科技公司成為2020年疫情風(fēng)口上的寵兒。

用戶數(shù)暴增20倍，股價(jià)也一路狂飆，截至4月20日收盤，Zoom股價(jià)為148.99美元。

雖然用戶數(shù)與股價(jià)齊飛，但各種問題也是接踵而至。

Zoombombing、與Facebook共享數(shù)據(jù)、缺乏端到端加密，服務(wù)器要經(jīng)過中國，黑客叫賣zoom賬號(hào)一分錢購買71個(gè)……

Zoom就這樣，一下子處在了風(fēng)口浪尖上。

當(dāng)然，也有人為Zoom鳴不平，正是因?yàn)橛脩魯?shù)一下子暴增的20倍，讓Zoom有了很多前所未有的新用途，相信沒有哪一個(gè)視頻會(huì)議軟件能夠頂住這一層壓力。

前Facebook首席安全官、Zoom安全顧問Alex Stamos就表示：Zoom在疫情之中面臨很大的變化，公司必須以新的方式去思考隱私和安全問題。

好在這一次，面對(duì)問題，Zoom不拖沓了。

Grupo Banco Santander網(wǎng)絡(luò)安全研究負(fù)責(zé)人Daniel Cuthbert說：“Zoom的漏洞很嚴(yán)重，但并非唯一的、特殊的。現(xiàn)在，Zoom迅速采取了行動(dòng)，這是令人欣喜的舉措。”

就在被錘爆后，Zoom公開宣布將停止開發(fā)新功能，將在90天的時(shí)間里面進(jìn)行各種問題的修復(fù)，并將在每周舉辦一次研討會(huì)，直接對(duì)話Zoom CEO袁征。

這不，已經(jīng)舉辦了兩次的研討會(huì)，在官網(wǎng)上已經(jīng)有了會(huì)議記錄。

先是第一次研討會(huì)上，袁征與5,900多名與會(huì)者進(jìn)行了交談，并通過YouTube直播加入了更多與會(huì)者。

會(huì)上，袁征主要是回答了一些問題，其中最為主要的就是關(guān)于“加密”。

我們使用的是AES加密的方式，密鑰是由我們的系統(tǒng)生成的。我們正在開發(fā)一項(xiàng)功能，以便從我們的客戶那里生成密鑰。我們正在將加密從AES-256 ECB升級(jí)到AES-256 GCM。未來的45天里，將致力于讓每個(gè)用戶都能夠升級(jí)程序，使用新功能。

而在第二次的研討會(huì)上，Zoom便有了實(shí)質(zhì)性的進(jìn)展。

首先是在人員調(diào)動(dòng)上面，新的安全顧問Alex Stamos也在會(huì)上亮相。

Alex Stamos是前Facebook首席安全官，是斯坦福大學(xué)國際安全與合作中心的計(jì)算機(jī)科學(xué)家及兼職教授。

此外，還啟動(dòng)了一個(gè)漏洞賞金計(jì)劃。

Zoom將與Luta Security合作，重新啟動(dòng)漏洞賞金計(jì)劃。

Luta Security將通過90天的“康復(fù)”計(jì)劃全面評(píng)估Zoom的計(jì)劃，該計(jì)劃將涵蓋所有內(nèi)部漏洞處理流程。

Luta Security由Katie Moussouris創(chuàng)建。

雖然名字大家陌生，但這個(gè)人，來頭真不小。

她曾在Microsoft、Pentagon上創(chuàng)建了漏洞賞金計(jì)劃，并還直接參與了美國國防部為黑客制定的第一個(gè)漏洞賞金計(jì)劃。

看來，Zoom要解決網(wǎng)絡(luò)安全的問題決心很大呀。

最后，袁征團(tuán)隊(duì)也強(qiáng)化了一些安全功能。比如主持人或聯(lián)合主持人可以使用“鎖定會(huì)議”、“啟用等候室”、更改了視頻會(huì)議的默認(rèn)設(shè)置、增強(qiáng)了密碼的復(fù)雜性等等。

甚至還對(duì)外公開了內(nèi)部工作計(jì)劃時(shí)間表。

這一次，看起來是真心改過了。

但是，隨著疫情對(duì)視頻會(huì)議軟件的催熟。

目前Zoom面臨的競(jìng)爭(zhēng)形勢(shì)大變，不說微軟和谷歌等巨頭紛紛加碼，加大在視頻會(huì)議方面的投入和產(chǎn)品體驗(yàn)提升。

一眾中國公司，也紛紛“揭竿而起”，騰訊會(huì)議、字節(jié)跳動(dòng)飛書、阿里云會(huì)議……就連百度內(nèi)部IM工具百度Hi、網(wǎng)易內(nèi)部IM工具，都紛紛傳出要“對(duì)外開放”的聲勢(shì)。

留給Zoom的時(shí)間，不多了。

留給客戶的可選項(xiàng)則更多了，流暢、安全，更要免費(fèi)……Zoom之前“獨(dú)享”的蛋糕，現(xiàn)在競(jìng)爭(zhēng)可是空前激烈的。

對(duì)了，你們視頻會(huì)議，用的啥軟件嘞？

— 完 —