商业环境发生了突然而剧烈的变化 要远程访问,以应对当前的社会隔离 requirements. 相应的,视频会议应用程序的使用已经 skyrocketed. 也许视频会议工具是其中最受益的 this change in business model is 变焦. 的 company has seen a huge 受欢迎程度的提升,据报道流量增加了535%[1].
Wide adoption can help reduce the burden of continued 一个公司所面临的运营挑战,又简单、可靠、灵活 platform is an IT teams dream. In spite of this, a number of security concerns 在变焦平台内持久化,这一点应该考虑到 looking to implement within an organisation’s operations.
Challenges in vulnerability remediations
围绕变焦平台提出的核心安全问题 到目前为止,相关的视频聊天劫持能力不足 端到端加密,以及最近发现的一些漏洞 within the client installed on a user’s device. One issue previously identified 在软件中,与Mac OSX设备上的权限升级有关 可能被用来实现恶意代码执行,或者在 恶意行为者,被用作进入组织的入口点 infrastructure. 另一个涉及敏感信息披露的问题是 是否允许攻击者操纵用户泄露其用户信息 credentials inadvertently[2].
Ever Evolving Threats
While these issues had been previously identified and were 显然对于使用这个平台的人来说,有着重大的意义 用户基数的增加,导致了安全研究人员和恶意行为者的增多 试图识别软件中的攻击向量以瞄准用户. 这已经 在软件中发现了三个零日漏洞 publicised during the first 3 days of April 2020. 的 first two vulnerabilities[3] may allow an attacker to inject 在变焦安装程序中使用恶意代码来实现权限升级. 这 可以与其他攻击媒介串联使用,如网络钓鱼攻击 target individuals or organisations.
识别的另一个漏洞可能允许恶意参与者 执行恶意代码注入攻击,使攻击者 与变焦应用程序的访问权限相同,这意味着它们将是相同的 能够拦截和监视用户通过麦克风和网络摄像头使用的一部分 of the chat.
最后一个问题于2020年4月3日公开提出[4], related to the use of inadequate data 加密,这似乎是内部实现的. It is highly 建议避免“滚动您自己的”加密实现并使用 建立和全面审查广泛可用的方法. 的 加密实现变焦的使用被确定为包含在 某些实例可能允许对已被拦截的加密数据进行加密 解密.
Slow start, but a rapid response
While 变焦 have acknowledged the presence of these issues 并公开宣布他们正在解决这些问题, 他们正在进行的安全活动的性质仍然令人关切 流程. 安全研究人员此前一直对这种反应持批评态度 漏洞披露与公司补救之间的间隔时间. On March 30th 2020年,纽约总检察长利蒂夏·詹姆斯联系了该公司 询问极速正在采取的安全措施的大纲 解决这些问题,以及保障平台,特别是由于 the swell in its user base[5]. 变焦 published an open letter on their 公开博客详述了他们已经采取的步骤,以及他们将要采取的步骤 将在未来90天内改善安全态势 platform as a whole.[6]
突出显示的步骤将包括冻结新功能 分配开发人员解决开放的安全问题和平台 硬化. 他们打算与第三方合作,比如安全架构师 并对渗透测试公司进行审计和安全评估 平台,增强他们现有的漏洞赏金平台和采用的方法 与用户透明,让他们了解他们做了什么 data, and whom it may be shared with. 的y have also released security fixes 为Mac OSX和Microsoft Windows客户端修复了一些错误 vulnerabilities publicised.
In reality, while the flaws raised publicly so far are concerning, they should be considered in context. Many of them require at least 本地设备上的低特权用户帐户,这可能会大大减少 成功攻破设备的可能性,除非另一次攻击 successful to gain that initial access. In the matter of the encryption 实现时,成功攻击所需要的重要资源 被执行使其成为一个相当低风险的攻击向量,并为大多数用户所接受 would be unlikely to be legitimate targets.
结论
As with any adoption of new conferencing technology during 在这个变化的时期,组织应该问自己,他们是否 对会议平台上讨论的内容感到满意 有意或无意的披露会产生什么不利影响 content cause the business.
应进一步考虑任何风险 安装软件可以带来终端设备的完整性. 而变焦现在显然在前灯,并将毫无疑问地采取 额外的步骤,以确保组织,他们可以交付,所以增加 关注很可能导致进一步的安全问题被发现.