文/白交鱼羊
来源:量子位(ID:QbitAI)
客户花钱找黑客,帮你产品找 Bug……
这样的客户哪里找?这样的产品又究竟有怎样的福报?
Zoom,疫情之下最火爆的视频会议公司,又上演了电影一样的商业剧情。
继没实现端到端加密、北美的视频通话绕道中国、一分钱能买 71 个 Zoom 账号之后……
风口浪尖上的 Zoom,又被其客户 Dropbox 的前工程师曝出:客户早就对 Zoom 的安全性感到瑟瑟发抖。
据纽约时报报道,Zoom 的客户之一——Dropbox 在 2018 年就开始付钱给顶级黑客,让他们帮忙找出 Zoom 的漏洞。
结果,不仅安全漏洞的数量和严重程度令人感到震惊,在他们将漏洞报给 Zoom 后,Zoom 的修复速度也令人头大。
比如,黑客在去年发现了 Zoom 的一个漏洞:通过 Zoom,攻击者能够获取苹果 macOS 用户的计算机控制权。
而 Zoom 花费了整整三个月的时间,在又有其他黑客发现了这一漏洞后,才终于完成了修复……
真魔幻啊。掏钱换掉不香吗?
来自合作伙伴的 push
Dropbox 和 Zoom 自 2018 年起就达成了合作关系。
随后,Dropbox 将自身功能跟 Zoom 进行了整合。
不过,Dropbox 还是留了个心眼。出于对视频会议系统漏洞危及自身企业安全的考量,Dropbox 决定自行监控 Zoom 的安全漏洞。
别人家付费找黑客来 debug,找的都是自家的 bug。
而 Dropbox 的漏洞赏金计划,却是让黑客给 Zoom 找漏洞。
对此,Dropbox 是这样解释的:
在 2018 年,我们试行了一个计划,将战略合作伙伴和供应商纳入我们的漏洞赏金计划。在此计划下,Dropbox 会向发现合作伙伴平台中漏洞的安全研究人员提供奖励。
结果嘛,大概也无需多言。反正,连 Dropbox 自己的工程师都开始下场给 Zoom 抓虫,并加装了控件来控制 Zoom 带来的风险。
据纽约时报报道,Dropbox 的年度黑客竞赛上,他们搞了一个山寨版 Zoom——Vroom, 要求研发人员对其进行破解。而这样做的目的,是教育自家工程师们不要像 Zoom 那样犯安全错误。
替别人 Debug,最终目的当然不止于找出漏洞。
Dropbox 把这些 bug 都报给了 Zoom,并催着 Zoom 进行修复。
Dropbox 前安全主管 Chris Evans 就表示,Dropbox 这样的早期介入明显帮到了 Zoom,否则 Zoom 爆火之后,漏洞问题恐怕会带来更多麻烦。
只不过,Zoom 此前修复漏洞的速度并不总是让人满意。比如前文提到的针对 MacOS 的深层攻击,Zoom 花了三个月的时间才解决。
甚至,向纽约时报爆料的前 Dropbox 工程师认为,正是因为未能彻底改革其安全业务,Zoom 才陷入了如今的困境。
对此,Zoom 创始人兼 CEO 袁征曾在 2019 年 7 月发布公告,就未能及时回应漏洞问题道歉:
在过去 90 天的研究中,我们错误地判断了形势,反应不够迅速,责任在我们。
不过道歉归道歉,要是当时就完全改好了,也不会在疫情之下被锤爆。
疫情爆红之下的 Zoom
短短几个月内,Zoom 以一个只服务于公司业务的工作会议工具迅速转变为全球第一的视频软件。
前几天,BondCapital 合伙人、“互联网女皇”Mary Meeker 发布了最新一期的《互联网趋势报告》。其中就提到,以 Zoom 为代表的科技公司成为 2020 年疫情风口上的宠儿。
用户数暴增 20 倍,股价也一路狂飙,截至 4 月 20 日收盘,Zoom 股价为 148.99 美元。
虽然用户数与股价齐飞,但各种问题也是接踵而至。
Zoombombing、与 Facebook 共享数据、缺乏端到端加密,服务器要经过中国,黑客叫卖 zoom 账号一分钱购买 71 个……
Zoom 就这样,一下子处在了风口浪尖上。
当然,也有人为 Zoom 鸣不平,正是因为用户数一下子暴增的 20 倍,让 Zoom 有了很多前所未有的新用途,相信没有哪一个视频会议软件能够顶住这一层压力。
前 Facebook 首席安全官、Zoom 安全顾问 Alex Stamos 就表示:Zoom 在疫情之中面临很大的变化,公司必须以新的方式去思考隐私和安全问题。
好在这一次,面对问题,Zoom 不拖沓了。
Grupo Banco Santander 网络安全研究负责人 Daniel Cuthbert 说:“Zoom 的漏洞很严重,但并非唯一的、特殊的。现在,Zoom 迅速采取了行动,这是令人欣喜的举措。”
就在被锤爆后,Zoom 公开宣布将停止开发新功能,将在 90 天的时间里面进行各种问题的修复,并将在每周举办一次研讨会,直接对话 Zoom CEO 袁征。
这不,已经举办了两次的研讨会,在官网上已经有了会议记录。
先是第一次研讨会上,袁征与5,900 多名与会者进行了交谈,并通过 YouTube 直播加入了更多与会者。
会上,袁征主要是回答了一些问题,其中最为主要的就是关于“加密”。
我们使用的是 AES 加密的方式,密钥是由我们的系统生成的。我们正在开发一项功能,以便从我们的客户那里生成密钥。我们正在将加密从 AES-256 ECB 升级到 AES-256 GCM。
未来的 45 天里,将致力于让每个用户都能够升级程序,使用新功能。
而在第二次的研讨会上,Zoom 便有了实质性的进展。
首先是在人员调动上面,新的安全顾问 Alex Stamos 也在会上亮相。
Alex Stamos 是前 Facebook 首席安全官,是斯坦福大学国际安全与合作中心的计算机科学家及兼职教授。
此外,还启动了一个漏洞赏金计划。
Zoom 将与 Luta Security 合作,重新启动漏洞赏金计划。
Luta Security 将通过 90 天的“康复”计划全面评估 Zoom 的计划,该计划将涵盖所有内部漏洞处理
流程。
Luta Security 由Katie Moussouris创建。
虽然名字大家陌生,但这个人,来头真不小。
她曾在 Microsoft、Pentagon 上创建了漏洞赏金计划,并还直接参与了美国国防部为黑客制定的第一个漏洞赏金计划。
看来,Zoom 要解决网络安全的问题决心很大呀。
最后,袁征团队也强化了一些安全功能。比如主持人或联合主持人可以使用“锁定会议”、“启用等候室”、更改了视频会议的默认设置、增强了密码的复杂性等等。
甚至还对外公开了内部工作计划时间表。
这一次,看起来是真心改过了。
但是,随着疫情对视频会议软件的催熟。
目前 Zoom 面临的竞争形势大变,不说微软和谷歌等巨头纷纷加码,加大在视频会议方面的投入和产品体验提升。
一众中国公司,也纷纷“揭竿而起”,腾讯会议、飞书、阿里云会议……就连百度内部 IM 工具百度 Hi、网易内部 IM 工具,都纷纷传出要“对外开放”的声势。
留给 Zoom 的时间,不多了。
留给客户的可选项则更多了,流畅、安全,更要免费……Zoom 之前“独享”的蛋糕,现在竞争可是空前激烈的。
对了,你们视频会议,用的啥软件嘞?