視訊軟體 Zoom 資安漏洞頻傳 電腦個資易遭竊(圖)
因為疫情影響,許多企業開始改變工作型態,以在家上班為主,降低員工遭感染的風險。(示意圖,圖片來源:Adobe stock)
因為疫情影響,許多企業開始改變工作型態,以在家上班為主,降低員工遭感染的風險。除了企業,許多教育機構及民間團體也改採視訊會議的形式。這也讓視訊軟體 Zoom 在短時間內爆紅。
據 Zoom CEO Eric S. Yuan 於部落格揭露,三月每日使用 Zoom 的人數已達到 2 億人,與去年 12 月的 1,000 萬,成長了20倍。只是在成為當紅視訊軟體之際,Zoom 的資安漏洞也不斷傳出。
資安網站 Bleeping Computer 就發現,有心駭客可以透過 Zoom 的系統漏洞,輕鬆的從遠端竊取用戶的 Windows 密碼。由於 Zoom 將 Windows 內部的 UNC(Universal Naming Convention)路徑,設置為可以點擊的超連結,所以如果駭客藉這方式刻意引導用戶,使其按下相關連結,就會導致帳號、密碼外流,讓電腦門戶大開。
專家分析,Zoom 的這項安全漏洞,並不需要複雜的技術就能被人加以利用,使用者若想避免個資外流,可以暫時修改 Windows 設定避免受害,只要於 Windows 安全設定內,找到限制 NTLM 的選項,並將其改為全部拒絕即可。只是最重要的關鍵,還是在於 Zoom 沒有禁止使用 UNC 連結,所以才會導致用戶深陷安全風險。
不但如此,至今 Zoom 爆發的安全漏洞也不只一起,例如會將資料共享給臉書;程式不但存在安全漏洞,還會讓駭客輕易獲得麥克風、攝影鏡頭使用權;在 macOS 版本的安裝程序,也被批評與惡意軟體無異;視訊通話也被發現並沒有做到兩端之間的加密。雖然官方持續釋出修補檔,只是隨著Zoom 爆紅、需求大增,這些資安漏洞自然也更被使用者所重視。
由於線上使用者大增,Zoom 本身也沒有做好資安防護,這也使得 Zoom 成為網路駭客最新的駐紮平台。美國 FBI 就建議使用者最好不要使用公開會議,或是過於頻繁分享超連結,因為已經有多起案例顯示,不少駭客開始藉由 Zoom 發起網路攻擊,以搜集用戶個人資料。
《路透》報導也提到,SpaceX 與美國國家航空暨太空總署(NASA),也開始出於安全考量,禁止職員使用 Zoom。