天创培训:您身边的信息安全培训专家!
行业动态
放大安全问题引起人们对医疗用途的关注

在诸如COVID-19危机期间,诸如Zoom之类的电话会议平台已经证明在企业和消费者中很受欢迎,因为它们可以在在家工作时保持联系,但是在过去几天中发现了一系列的Zoom安全问题,这引起了人们对于该产品适用性的担忧。医疗用平台。

Zoom,COVID-19,漏洞

研究人员发现的Zoom安全问题

过去几天发现了几个Zoom安全问题和隐私问题。发现macOS安装程序使用类似恶意软件的方法来安装Zoom客户端,而无需用户提供最终确认。该方法可能被劫持,并可能用作恶意软件分发的后门。

在Zoom的电话会议平台的macOS客户端版本中发现了两个零日漏洞,即使没有管理员密码,该漏洞也允许本地用户升级特权并获得root特权,甚至可以访问网络摄像头和麦克风并截取和记录Zoom会议。

该平台旨在使业务用户更容易找到公司内其他人员的功能被发现正在泄漏用户的电子邮件地址,个人资料照片和状态。公司目录功能会将其他人添加到用户的联系人列表中(如果他们的电子邮件地址位于同一域中)。一些消费者报告说,使用个人电子邮件地址注册时,陌生人已添加到他们的联系人列表中。

还报告了许多爆炸事件,在这种情况下,不请自来的人使用蛮力策略猜测会议ID来参加会议。劫持攻击事件增多后,联邦调查局最近发布了警告。曾经发生过有人入侵Zoom会议,滥用参与者并使用屏幕共享功能显示色情内容的情况。

也有迹象表明,即使用户没有Facebook帐户,Zoom仍通过Facebook SDK与Facebook共享用户的背景数据。

Zoom平台不提供端到端加密

The Intercept上发布的一份报告显示,Zoom声称要实施的端到端加密并不扩展到视频会议。当Intercept联系Zoom进行评论时,该公司的一位发言人解释说:“当前,无法为Zoom视频会议启用E2E加密。” 相反,“缩放视频会议使用TCP和UDP的组合。TCP连接使用TLS进行,而UDP连接则使用通过TLS连接协商的密钥通过AES进行加密。”

加密数据的方法类似于用于保护Web浏览器和HTTPS网站之间的通信的方法。这种“传输加密”可以保护从一个客户端到另一个客户端的传输数据,这意味着会议参与者之间的通信是加密的,但是Zoom可以访问未加密的音频和视频内容。

Zoom向The Intercept解释说,尽管可以访问未加密的用户数据,但“ Zoom采取了分层的保护措施,以保护我们用户的隐私,其中包括防止任何人(包括Zoom员工)直接访问用户在会议期间共享的任何数据,包括(但不限于)这些会议的视频,音频和聊天内容。重要的是,Zoom不会挖掘用户数据或将任何类型的用户数据出售给任何人。”

多伦多大学公民实验室研究小组的研究人员发现,加密和解密视频会议的密钥已发送到中国。“扫描显示,在中国总共有五台服务器,在美国有68台,它们显然运行与北京服务器相同的Zoom服务器软件。研究人员说:“我们怀疑密钥可能会通过这些服务器分发。” “考虑到Zoom可能有法律义务向中国当局披露这些密钥,因此一家主要服务于北美客户的公司可能会引起关注,该公司有时会通过在中国的服务器分发加密密钥。”

Zoom在2020年4月3日的博客文章中解释说,这些服务器已被列入白名单以供其他地区使用,以作为确保其服务维护的潜在备份桥,并且这些服务器仅在非常有限的情况下使用。现在,此问题已得到纠正,并且Zoom解释说Zoom for Government并未受到影响。

最近公开的变焦安全问题寻求的答案

参议员Richard Blumenthal(D-Conn)已致信Zoom首席执行官兼创始人Eric S. Yuan,以寻求有关公司对用户数量激增,Zoom安全问题列表不断增加以及Zoom处理个人用户数据的反应的答案。

2019年12月,每天约有1000万Zoom会议参与者。到2020年3月,这一数字已扩大到每天2亿。该公司一直在努力继续为用户提供支持,以确保提供不间断的服务,但是使用针对企业用户设计的平台的消费者的大量增加一直是一个挑战。

“ Zoom被越来越多的学校和医疗服务提供商所使用,它们已经关闭或限制了其运营以阻止冠状病毒的传播,引发了有关其服务如何符合保护学生,患者和消费者的联邦和州隐私法的疑问”,Sen写道。布卢门撒尔在信中。

参议员Blumenthal还对Zoom的“令人困扰的软件设计实践和安全失效历史”表示担忧,他指的是对Mac客户端中漏洞的缓慢响应,该漏洞尚未得到完全解决,并且需要数月才能最终得到解决,然后才应解决。受到苹果公司的干预。

参议员Blumenthal寻求有关以下方面的答案:检测和停止Zoom-bombing,用于保护用户隐私的加密级别以及与Facebook等第三方收集,使用和共享的数据。

纽约总检察长莱蒂蒂亚·詹姆斯(Letitia James)也担心最近的Zoom安全问题以及该公司对用户数量的大量增加的反应。在这封信中,总检察长詹姆斯表示担心,鉴于用户数量的激增以及现在正在通过该平台传递的数据的敏感性,Zoom的现有安全措施可能不再足够。她还想知道考虑到受欢迎程度的大量增加,是否已经对Zoom安全实践进行了更广泛的审查。

首席执行官回应对Zoom安全问题的批评

在2020年4月1日的博客文章中,Zoom首席执行官Eric S. Yuan解释说,由于今年该平台的普及程度大大提高,该公司正经历着一些增长的痛苦。对于对Zoom安全问题的批评,Yuan说:“我们认识到我们没有达到社区(以及我们自己)对隐私和安全的期望。为此,我深感抱歉,我想分享我们对此所做的一切。”

预计该平台的受欢迎程度将不会大幅提高,因为该国的锁定人口数量以及在家工作和社交的比例都不会达到四分之一。袁说:“现在,我们有大量的用户在以各种意想不到的方式使用我们的产品,这给我们带来了平台构想时无法预料的挑战。”

应该注意的是,所有软件解决方案都具有漏洞,并且最近公开的某些Zoom漏洞已被公开,而没有给Zoom太多时间来响应和解决问题。尽管仍然存在一些隐私和安全问题,但Zoom迅速做出反应并解决了近日发现的一些问题。

Zoom公开承诺修复隐私和安全问题,并主动评估该平台是否存在其他漏洞。在接下来的90天内,Zoom将停止所有常规开发工作,并将所有工程资源转移到专注于最大的信任,安全和隐私问题上。错误赏金计划正在得到增强,渗透测试正在进行中,以评估平台的安全性。

使用Zoom进行医疗保健通讯

企业级通信解决方案需要企业级隐私和安全保护。这对于确保HIPAA符合性在医疗保健中尤其重要。Zoom为医疗保健组织提供了企业软件包– Zoom for Healthcare,该软件包已开发为纳入必要的安全措施以符合HIPAA隐私和安全规则;但是,最新的安全漏洞和隐私问题使人们对所提供的保护级别产生了怀疑。

COVID-19公共卫生突发事件期间,HHS的民权办公室表示将行使执法自由裁量权,不会对真诚提供远程医疗服务以及可能无法满足HIPAA所有要求的应用施加制裁或惩罚可以使用规则。尽管没有任何迹象表明OCR将Zoom作为例外-它不是面向公众的平台-医疗保健提供者应谨慎行事。

医疗组织还可以使用其他电话会议解决方案来提供远程医疗服务,其中许多确实提供了真正的端到端加密,并且没有Zoom中未发现的安全问题。这些解决方案中的许多解决方案也是免费提供的,甚至在COVID-19公共卫生突发事件宣布之后,符合HIPAA要求的安全消息传递平台提供商TigerConnect也已将其平台免费提供给医疗机构。

由于可以使用更安全的视频会议和通信平台,因此强烈建议在COVID-19危机期间,当然直到Zoom解决其隐私和安全问题并完成其平台审查之前,为远程医疗和其他医疗保健通信使用替代解决方案。