客户花钱雇黑客,竟是为Zoom找bug:风口浪尖的视频会议No.1,安全问题如此魔幻

白交 鱼羊 发自 凹非寺
量子位 报道 | 公众号 QbitAI

客户花钱找黑客,帮你产品找Bug……

这样的客户哪里找?这样的产品又究竟有怎样的福报?

Zoom,疫情之下最火爆的视频会议公司,又上演了电影一样的商业剧情。

继没实现端到端加密、北美的视频通话绕道中国、一分钱能买71个Zoom账号之后……

风口浪尖上的Zoom,又被其客户Dropbox的前工程师曝出:客户早就对Zoom的安全性感到瑟瑟发抖。

据纽约时报报道,Zoom的客户之一——Dropbox在2018年就开始付钱给顶级黑客,让他们帮忙找出Zoom的漏洞。

结果,不仅安全漏洞的数量和严重程度令人感到震惊,在他们将漏洞报给Zoom后,Zoom的修复速度也令人头大。

比如,黑客在去年发现了Zoom的一个漏洞:通过Zoom,攻击者能够获取苹果macOS用户的计算机控制权。

而Zoom花费了整整三个月的时间,在又有其他黑客发现了这一漏洞后,才终于完成了修复……

真魔幻啊。掏钱换掉不香吗?

来自合作伙伴的push

Dropbox和Zoom自2018年起就达成了合作关系。

随后,Dropbox将自身功能跟Zoom进行了整合。

不过,Dropbox还是留了个心眼。出于对视频会议系统漏洞危及自身企业安全的考量,Dropbox决定自行监控Zoom的安全漏洞。

别人家付费找黑客来debug,找的都是自家的bug。

而Dropbox的漏洞赏金计划,却是让黑客给Zoom找漏洞。

对此,Dropbox是这样解释的:

在2018年,我们试行了一个计划,将战略合作伙伴和供应商纳入我们的漏洞赏金计划。在此计划下,Dropbox会向发现合作伙伴平台中漏洞的安全研究人员提供奖励。

结果嘛,大概也无需多言。反正,连Dropbox自己的工程师都开始下场给Zoom抓虫,并加装了控件来控制Zoom带来的风险。

据纽约时报报道,Dropbox的年度黑客竞赛上,他们搞了一个山寨版Zoom——Vroom, 要求研发人员对其进行破解。而这样做的目的,是教育自家工程师们不要像Zoom那样犯安全错误。

替别人Debug,最终目的当然不止于找出漏洞。

Dropbox把这些bug都报给了Zoom,并催着Zoom进行修复。

Dropbox前安全主管Chris Evans就表示,Dropbox这样的早期介入明显帮到了Zoom,否则Zoom爆火之后,漏洞问题恐怕会带来更多麻烦。

只不过,Zoom此前修复漏洞的速度并不总是让人满意。比如前文提到的针对MacOS的深层攻击,Zoom花了三个月的时间才解决。

甚至,向纽约时报爆料的前Dropbox工程师认为,正是因为未能彻底改革其安全业务,Zoom才陷入了如今的困境。

对此,Zoom创始人兼CEO袁征曾在2019年7月发布公告,就未能及时回应漏洞问题道歉:

在过去90天的研究中,我们错误地判断了形势,反应不够迅速,责任在我们。

不过道歉归道歉,要是当时就完全改好了,也不会在疫情之下被锤爆。

疫情爆红之下的Zoom

短短几个月内,Zoom以一个只服务于公司业务的工作会议工具迅速转变为全球第一的视频软件。

前几天,BondCapital合伙人、“互联网女皇”Mary Meeker发布了最新一期的《互联网趋势报告》。其中就提到,以Zoom为代表的科技公司成为2020年疫情风口上的宠儿。

用户数暴增20倍,股价也一路狂飙,截至4月20日收盘,Zoom股价为148.99美元。

虽然用户数与股价齐飞,但各种问题也是接踵而至。

Zoombombing、与Facebook共享数据、缺乏端到端加密,服务器要经过中国,黑客叫卖zoom账号一分钱购买71个……

Zoom就这样,一下子处在了风口浪尖上。

当然,也有人为Zoom鸣不平,正是因为用户数一下子暴增的20倍,让Zoom有了很多前所未有的新用途,相信没有哪一个视频会议软件能够顶住这一层压力。

前Facebook首席安全官、Zoom安全顾问Alex Stamos就表示:Zoom在疫情之中面临很大的变化,公司必须以新的方式去思考隐私和安全问题。

好在这一次,面对问题,Zoom不拖沓了。

Grupo Banco Santander网络安全研究负责人Daniel Cuthbert说:“Zoom的漏洞很严重,但并非唯一的、特殊的。现在,Zoom迅速采取了行动,这是令人欣喜的举措。”

就在被锤爆后,Zoom公开宣布将停止开发新功能,将在90天的时间里面进行各种问题的修复,并将在每周举办一次研讨会,直接对话Zoom CEO袁征。

这不,已经举办了两次的研讨会,在官网上已经有了会议记录。

先是第一次研讨会上,袁征与5,900多名与会者进行了交谈,并通过YouTube直播加入了更多与会者。

会上,袁征主要是回答了一些问题,其中最为主要的就是关于“加密”。

我们使用的是AES加密的方式,密钥是由我们的系统生成的。我们正在开发一项功能,以便从我们的客户那里生成密钥。我们正在将加密从AES-256 ECB升级到AES-256 GCM。未来的45天里,将致力于让每个用户都能够升级程序,使用新功能。

而在第二次的研讨会上,Zoom便有了实质性的进展。

首先是在人员调动上面,新的安全顾问Alex Stamos也在会上亮相。

Alex Stamos是前Facebook首席安全官,是斯坦福大学国际安全与合作中心的计算机科学家及兼职教授。

此外,还启动了一个漏洞赏金计划。

Zoom将与Luta Security合作,重新启动漏洞赏金计划。

Luta Security将通过90天的“康复”计划全面评估Zoom的计划,该计划将涵盖所有内部漏洞处理流程。

Luta Security由Katie Moussouris创建。

虽然名字大家陌生,但这个人,来头真不小。

她曾在Microsoft、Pentagon上创建了漏洞赏金计划,并还直接参与了美国国防部为黑客制定的第一个漏洞赏金计划。

看来,Zoom要解决网络安全的问题决心很大呀。

最后,袁征团队也强化了一些安全功能。比如主持人或联合主持人可以使用“锁定会议”、“启用等候室”、更改了视频会议的默认设置、增强了密码的复杂性等等。

甚至还对外公开了内部工作计划时间表。

这一次,看起来是真心改过了。

但是,随着疫情对视频会议软件的催熟。

目前Zoom面临的竞争形势大变,不说微软和谷歌等巨头纷纷加码,加大在视频会议方面的投入和产品体验提升。

一众中国公司,也纷纷“揭竿而起”,腾讯会议、字节跳动飞书、阿里云会议……就连百度内部IM工具百度Hi、网易内部IM工具,都纷纷传出要“对外开放”的声势。

留给Zoom的时间,不多了。

留给客户的可选项则更多了,流畅、安全,更要免费……Zoom之前“独享”的蛋糕,现在竞争可是空前激烈的。

对了,你们视频会议,用的啥软件嘞?

— 完 —

版权所有,未经授权不得以任何形式转载及使用,违者必究。