一周曝出N个安全难题 风口上的Zoom宣称停更90天
发布时间:2022-07-12 08:32:06 所属栏目:安全 来源:互联网
导读:Zoom 本该正是处于高光时刻,但现在却深陷安全与隐私的泥沼。仅仅一周的时间,Zoom 就先后被曝出向 Facebook 发送用户数据、泄露 Windows 登录凭证、未经用户同意通过预加载方式下载应用程序、未按宣传所言采用端到端的加密方式等安全问题,也正是因为这些问
|
Zoom 本该正是处于“高光时刻”,但现在却深陷“安全与隐私”的泥沼。仅仅一周的时间,Zoom 就先后被曝出向 Facebook 发送用户数据、泄露 Windows 登录凭证、未经用户同意通过预加载方式下载应用程序、未按宣传所言采用端到端的加密方式等安全问题,也正是因为这些问题,NASA 和 SpaceX 宣布禁止使用 Zoom。 1. 用户毫不知情,Zoom 就把数据共享给了 Facebook Motherboard 网站发现,Zoom iOS 应用正在通过“使用 Facebook 登录”功能将数据发送到 Facebook,发送的数据包括手机型号、打开程序的时间、所在时区和城市、使用的电信运营商,甚至还包括了可用于广告定位的标识符。 据悉,Zoom 使用 Facebook SDK 实现的“Facebook 登录”功能,主要是为了给用户提供访问平台的便利方法。但是在调查中发现,即使你不是 Facebook 用户,也会被收集信息。 整个数据共享的过程是这样的:用户下载打开 App 后,Zoom 就会连接到 Facebook 的 Graph API。而这个 Graph API 就是开发者与脸书交流数据的主要方式。 Zoom 表示:“Facebook SDK 功能确实在从用户收集数据,但是收集的数据不包括个人用户信息,而是包含用户设备的数据。” 随后,Zoom 更新了 iOS 应用程序的版本,并改进了 Facebook 登录功能。删除了 Facebook SDK,重置该功能,用户仍然可以通过浏览器使用 Facebook 账户登录 Zoom,但是需要更新到最新版本,该功能才会生效。 2. Zoom 客户端泄漏 Windows 登录凭证 根据外媒报道,Zoom Windows 客户端很容易受到 NUC 路径注入的攻击,攻击者可能会利用此路径窃取单击链接的用户 Windows 凭证。 据了解,使用 Zoom 发送聊天消息时,发送的所有 URL 都会经过转换,方便其它聊天者点击,并在默认浏览器中打开。安全研究员 @ _g0dmode 发现,Zoom 客户端竟然将 Windows 网络的 UNC 路径也换成了这种可单击的链接。 不过,幸运的是 Windows 会在程序被执行前发出是否允许其运行的提示。但想要真正解决这个问题,Zoom 必须屏蔽部分可单击的链接,停止 Windows 客户端的 UNC 路径转换功能。 3. APP “自动”安装?Zoom 预安装脚本引争议 3 月 31 日,Twitter 用户 Felix 发文称:“Zoom macOS 安装程序在用户没有同意的情况下,会自动安装,并且还会使用具有高度误导性的标题来获取用户权限,这与 macOS 恶意软件的‘套路’如出一辙。” (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号