视讯软件 Zoom 资安漏洞频传 电脑个资易遭窃(图)
因为疫情影响,许多企业开始改变工作型态,以在家上班为主,降低员工遭感染的风险。(示意图,图片来源:Adobe stock)
因为疫情影响,许多企业开始改变工作型态,以在家上班为主,降低员工遭感染的风险。除了企业,许多教育机构及民间团体也改采视讯会议的形式。这也让视讯软件 Zoom 在短时间内爆红。
据 Zoom CEO Eric S. Yuan 于部落格揭露,三月每日使用 Zoom 的人数已达到 2 亿人,与去年 12 月的 1,000 万,成长了20倍。只是在成为当红视讯软件之际,Zoom 的资安漏洞也不断传出。
资安网站 Bleeping Computer 就发现,有心骇客可以透过 Zoom 的系统漏洞,轻松的从远端窃取用户的 Windows 密码。由于 Zoom 将 Windows 内部的 UNC(Universal Naming Convention)路径,设置为可以点击的超连结,所以如果骇客藉这方式刻意引导用户,使其按下相关连结,就会导致帐号、密码外流,让电脑门户大开。
专家分析,Zoom 的这项安全漏洞,并不需要复杂的技术就能被人加以利用,使用者若想避免个资外流,可以暂时修改 Windows 设定避免受害,只要于 Windows 安全设定内,找到限制 NTLM 的选项,并将其改为全部拒绝即可。只是最重要的关键,还是在于 Zoom 没有禁止使用 UNC 连结,所以才会导致用户深陷安全风险。
不但如此,至今 Zoom 爆发的安全漏洞也不只一起,例如会将资料共享给脸书;程式不但存在安全漏洞,还会让骇客轻易获得麦克风、摄影镜头使用权;在 macOS 版本的安装程序,也被批评与恶意软件无异;视讯通话也被发现并没有做到两端之间的加密。虽然官方持续释出修补档,只是随着Zoom 爆红、需求大增,这些资安漏洞自然也更被使用者所重视。
由于线上使用者大增,Zoom 本身也没有做好资安防护,这也使得 Zoom 成为网络骇客最新的驻扎平台。美国 FBI 就建议使用者最好不要使用公开会议,或是过于频繁分享超连结,因为已经有多起案例显示,不少骇客开始借由 Zoom 发起网络攻击,以搜集用户个人资料。
《路透》报导也提到,SpaceX 与美国国家航空暨太空总署(NASA),也开始出于安全考量,禁止职员使用 Zoom。