隨著 COVID-19 疫情在全球蔓延，遠端辦公需求愈發增加，主打多人視訊會議的 Zoom 公司受到了越來越多的關注，不僅全球使用者數量激增，而且市值逆勢上揚，較去年 IPO 翻了兩倍，一時間風頭無兩。

可是人紅是非多，Zoom 的確吸引了大量使用者，但同時也吸引了網路安全專家和媒體的目光，旗下產品幾乎是被放在顯微鏡下觀察，成立 9 年以來從未有過。

結果就是近半個月以來，這款視訊會議軟體接二連三地被爆出安全和隱私漏洞，遭到 SpaceX 和 NASA 內部禁用，甚至連美國聯邦調查局（FBI）也發出警告，提醒使用者使用 Zoom 時注意網路安全問題，不要在社交媒體上廣泛分享會議連結，以防機密資訊被黑客獲取。

（來源：Threatpost）

經統計，Zoom 經歷的問題和質疑可以概括如下：

由於Zoom軟體的預設設定，有人可以在未被邀請的情況下參與和惡意攪亂視訊會議，迫使會議中止。這種惡搞行為被稱為“Zoom-bombing（Zoom炸彈）”；Zoom宣稱視訊使用了端到端加密，但實際情況並非如此；資料收集和使用不透明，沒有透明度報告，而且iOS版Zoom應用會在未經使用者授權的情況下，向Facebook傳送分析資料；桌面版Zoom程式存在漏洞，可能會洩露Windows和MacOS使用者的登入憑據；北美使用者在視訊通話時，Zoom偶爾會從中國伺服器獲取資料加密金鑰。

面對大大小小的漏洞和質疑，Zoom 公司 CEO 袁徵（Eric Yuan）於 4 月 1 日正式公開道歉，承諾在未來 90 天內暫停所有新功能開發，動用全部工程師資源解決現有問題，修復過程保持透明，並且出臺有關使用者資料的透明度報告，以重塑信心。同時還會強化現有漏洞懸賞計劃，在每週三召開視訊講話，向社群透露問題修復的最新進展。

損人不利己的“Zoom 炸彈”

3 月中旬，北美 COVID-19 疫情愈發嚴重，不僅各大公司開始強制要求員工在家工作，很多學校也紛紛開始遠端授課。雖然 Zoom 此前一直主要針對企業使用者，但作為一款可以免費使用的線上視訊會議軟體，也受到了很多老師的青睞，把它當成是“雲上課”工具。

這本來是 Zoom 擴大使用者群的絕佳機會，然而自 3 月 15 日以來，有多家媒體紛紛爆出學生使用 Zoom 上課卻遭遇不明人士亂入的事故，從中學生，到大學教授，再到瑜伽老師都沒能倖免。

很多人在社交媒體上大吐苦水，抱怨惡搞者故意大吼大叫，播放歌曲，還有人貼出種族歧視圖片，甚至公然播放成人視訊，迫使授課或會議中斷，造成了十分惡劣的影響。

更過分的是，如果會議主持人不熟悉 Zoom 設定，那麼即使封掉入侵者，他還會換個馬甲重新進入，導致會議根本無法繼續。

由於這種現象不在少數，故而得名“Zoom-bombing（Zoom炸彈）”。

南加州大學校長 Carol L. Folt 專門發表公開信譴責這種行為，“我對學生和教師不得不親眼目睹這種卑劣的行為感到非常難過。”

在缺乏有效監管，而且很多人都閒在家裡極度無聊的情況下，模仿這種行為的風氣愈演愈烈，一度有人在某些論壇上傳授如何製造“Zoom炸彈”。

好多人還會沆韰一氣，在社交平臺上召集戰友，有針對性地聯手破壞一場會議。雲會議本身的機制導致人們很難追蹤他們，更別提懲罰他們。

必須強調的是，不懷好意的惡搞者是罪魁禍首，但 Zoom 軟體面臨的輿論譴責並非無理。

由於 Zoom 會議 ID 的規律性（9-11位數字），一名網路安全專家已經編寫出程式，可以自動掃描未經加密的會議，一小時就能搜到 100 個左右。

對於搗亂者來說，Zoom 的很多預設設定就相當於敞開大門，歡迎他們來搞事情；這大大增加了會議受到不速之客打擾的機率。比如改版前的會議連結預設不需要密碼，任何人都能加入，同時“允許其他與會者共享螢幕內容（無需主持人批准）”也是預設選項。

這兩條合起來就好比告訴陌生人：這是我家地址，不用鑰匙就能進，來了就別客氣，把這當成自己的家。相比之下，微軟等公司的同類雲辦公軟體更加剋制，通常預設由會議主持者控制螢幕共享等功能。

好在 Zoom 亡羊補牢，幾周內連續出臺了補救措施和設定指南，包括如何讓會議更安全的教程，以及預設開啟會議密碼和等待室選項，防止有人不請自來，或者在主持人準備好之前進入會議搗亂。

為了進一步打擊“Zoom炸彈”，美國司法部下屬的密歇根州東區檢察官辦公室發表宣告稱，非法入侵視訊會議的人可能會被指控犯有州或聯邦罪行，任何受到騷擾的人都可以向 FBI 舉報。

“你覺得Zoom炸彈很好玩？讓我們走著瞧，看看你被捕了之後還覺得它好玩嗎？”州檢察官 Matthew Schneider 直言不諱。

端到端加密危機

退一步講，在“Zoom炸彈”事故中，Zoom 出現設計邏輯漏洞情有可原。畢竟疫情發酵之前，其目標群體是企業內部員工，類似“無需允許就可以共享螢幕”的產品邏輯，基於會議參與者都是受信賴的前提考慮也說得過去，並非觸及網路安全的根本問題。然而它接下來被曝光的安全問題，則將其面臨的考驗提升了一個新高度。

首先是 Zoom 宣稱其視訊經過端到端加密，這被廣泛認為是最私密的網際網路通訊方式，能有效保護使用者的通訊內容不被第三方（包括 Zoom 自己）接觸到。

但據 The Intercept 報道，實際上 Zoom 僅在部分文字資訊和部分模式的音訊中使用了端到端加密，而在至關重要的視訊和電話通訊方面則並未使用這一加密方式。

事實上，Zoom 曾在一份官方檔案中承諾，將使用端到端方式對會議內容進行加密，甚至是在加密模式下使用該應用進行視訊會議時，介面上方還有“正在使用端到端加密” 的字樣。

但被問及視訊會議是否在實際上通過端到端加密時，Zoom 的發言人表示：現階段，不可能為 Zoom 平臺上的視訊會議啟用端到端加密。

圖 | 截圖顯示 Zoom 特意在使用時強調自己使用了端到端加密連線，見左上角（來源：The Intercept）

在端到端加密的模式下，視訊和音訊內容需要經過加密處理，而只有會議的參與者才擁有金鑰，有能力對資料進行解密。在這過程中，Zoom 雖然可以訪問到加密內容，但由於不掌握金鑰而不具備解鎖的能力。

在實際的運營中，Zoom 在保護會議視訊內容的加密方式是 TLS（Transport Layer Security，傳輸層安全協議），跟很多網站使用的HTTPS傳輸協議相同。也就是說，其安全程度跟保護網頁流量不被監聽差不多。

具體來說，使用者在電腦或手機上執行 Zoom 時，裝置端到 Zoom 的伺服器之間是加密的。但不同於端到端加密的關鍵點在於， Zoom 自己具備訪問未被加密的視訊和音訊內容的能力。

因此在採用 TLS 加密方式下，使用者的視訊或音訊內容可以防止被第三方竊取，比如通過 WIFI 監視的方式，但這些內容和資料並不能在 Zoom 這裡保證安全。

在這一問題上，Zoom 迴應稱，Zoom 不會訪問、竊取和出售使用者資料。

圖 | Zoom官網稱連結和資料分別經過TLS加密和AES-256加密（來源：Zoom）

Zoom 發言人解釋道，公司在檔案中提到的“端到端” 指的是不同的 Zoom 端點之間的加密。這種說法是將 Zoom 的伺服器視作是一個端點，這種做法和以往的常規理解並不相同。

約翰 · 霍普金斯大學的密碼學家和電腦科學教授 Matthew Green 指出，多人蔘與的線上視訊本身是很難進行端到端加密的，這是因為平臺需要在會議過程中識別哪個使用者正在通話，並將這名使用者的高解析度視訊流分發給其他參會者，而對於其他的未講話的參與者，平臺只會提供低解析度的視訊流。

“如果都是端到端加密，你需要更多額外的步驟。” Matthew Green 表示，“這是可行的，但並不容易。”他指出，蘋果在自家的視訊通話軟體 Facetime 上就使用了端到端加密。對於這種疑似欺瞞行為，他表示，Zoom 在端到端加密的解釋上有點模糊。

洩露系統登陸憑據

除了備受爭議的加密手段，Zoom 還被多個資訊保安專家點名，稱其 Windows 和 Mac 版軟體均存在暴露使用者登入憑據的風險。

以 Windows 版本為例，Zoom 的聊天系統會自動將 URL 地址轉換為可以點選的連結，以便其他使用者導航到對應網站。比如傳送 google.com 文字，就會以連結的形式發出。

但是 Zoom 還會將 Windows 系統的 UNC 路徑同樣轉換為連結。UNC 路徑通常被用於訪問網路路徑、裝置或檔案，比如連線區域網內的印表機。

圖 | 利用UNC注入攻擊和工具獲取使用者的登入憑據，注意右邊對話方塊裡的連結，不同於普通URL地址，這是一個經過偽裝的UNC路徑（來源：Twitter/Hacker Fantastic）

如果使用者點選這種連結，Windows 會使用 SMB 檔案共享協議與該地址通訊。預設情況下，系統會嘗試使用使用者名稱和 NTLM 密碼雜湊值登入，以訪問該裝置或網路資料夾。有經驗的黑客可以藉助 Hashcat 這樣的免費工具來逆向運算，破解密碼。

最早公佈這一漏洞的安全人員已經證實了 UNC 注入攻擊的可行性，不僅捕獲和破解了登入憑據，還能啟動命令提示符（CMD）等本地程式。

目前 Zoom 已經獲悉了漏洞的存在，尚不清楚是否已經修復。

資料不透明和中國伺服器

最後，作為一款視訊會議軟體，另一個老生常談的話題就是使用者資料收集和透明度。在這方面，Zoom 顯然還需要更多努力。

根據 Motherboard 的分析，由於 Zoom 的 iOS 版應用使用了 Facebook 的 Graph API，即使使用者沒有 Facebook 帳戶，該應用也會向 Facebook 傳送一些分析資料，比如在應用開啟時通知 Facebook，並且傳送裝置型號、時區、所在城市、電信運營商和廣告 ID 等資訊。

事實上，這種行為並不少見，亞馬遜旗下的智慧門鈴 Ring 也出現過類似問題。鑑於這種資料傳送行為並未明確出現在 Zoom 公司和軟體的隱私條款中，目前已經有人對其提起了集體訴訟，理由是未經使用者允許向 Facebook 傳送資料。

圖 | Zoom公司CEO袁徵（來源：路透社/Carlo Allegri）

一些使用者還發現，Zoom 會議管理者可以獲得的監管資訊非常多，包括與會者的 Zoom 視窗是否活躍，短時間內是否開啟了其他頁面，以及他們的 IP 地址、裝置資訊和所在地等等。這讓人們開始擔憂自己的隱私是否過分暴露。

紐約總檢察長 Letitia James 最近也向 Zoom 寫信，要求公司提供保護資料隱私和安全的詳細資料，稱其“解決安全漏洞的速度一直很慢”，擔心惡意第三方能夠祕密訪問使用者的網路攝像頭。

除此之外，在地緣政治角力的大環境下，Zoom 創始人袁徵和公司研發團隊的中國背景也被放在聚光燈下審視。

加拿大多倫多大學 Citizen Lab 的研究人員在 4 月 3 日披露，Zoom 軟體偶爾會將包含加密金鑰的資料發往中國伺服器，即使使用者身在北美。

他們多次測試後發現，該軟體使用的 AES-128/256 金鑰足夠有效，但使用美國還是中國的金鑰伺服器似乎沒有規律。

圖 | Zoom 偶爾會從北京的金鑰伺服器獲取金鑰（來源：多倫多大學 Citizen Lab）

雖然研究人員在安全測試報告中還指出了其他問題，比如會議等待室存在安全漏洞（待修復後披露），也肯定了 Zoom 的一些加密措施；但僅金鑰伺服器放在中國一條吸引了最多關注。

也正是基於這一問題，多倫多大學的研究人員不建議涉及機密和敏感資訊的會議使用 Zoom，實現“防患於未然”。對於 Zoom 來說，如果不做出改變，未來或許再看不到英國首相使用 Zoom 了，恐怕還會有更多麻煩找上門來。

Zoom 公司顯然深知這一點，僅用不到一天的時間就公開回應，稱已經修復了這一意外錯誤，中國伺服器不會再成為北美的備用路徑。

官方給出的理由是近兩個月使用者量激增，導致北美伺服器承擔了過大壓力，為了緩解壓力額外增配了伺服器，但在白名單中錯誤地配置了兩個中國的資料中心。此前曾一直限制不讓北美流量通過中國伺服器。

正所謂樹大招風，短時間內獲得如此之高的關注度，谷歌和微軟可能都沒享受過這種待遇。我們也不得不承認，Zoom 這一個月真是太難了，一系列問題接踵而至。

但歸根結底，拋開地緣政治問題不談，如果產品品質過硬，技術紮實，邏輯完善，經得起推敲和拆解，自然也不會經歷這些。對於一家成立 9 年，市值超 300 億美元的公司來說，關於資料、隱私和安全的要求並不苛刻。

有一說一，Zoom 目前處理問題的態度可圈可點，經常能看到及時發表的長篇宣告，言辭懇切，整改問題的效率也不低。如果能夠化危機為機會好好把握，經歷陣痛未嘗不是一件好事。

“我每天就感覺好像有某股力量在暗中搗鬼，想要摧毀我們。可是我太忙了，根本沒時間想這些陰謀論。” 在最近一次接受《華爾街日報》採訪時，CEO 袁徵坦誠地表示。