商业环境发生了突然而剧烈的变化 要远程访问,以应对当前的社会隔离 需求. 相应的,视频会议应用程序的使用已经 飙升. 也许视频会议工具是其中最受益的 这种商业模式的变化是 变焦. 该公司已经看到了巨大的 受欢迎程度的提升,据报道流量增加了535%[1].
广泛采用可以帮助减轻持续的负担 一个公司所面临的运营挑战,又简单、可靠、灵活 平台是IT团队的梦想. 尽管如此,一些安全问题 在变焦平台内持久化,这一点应该考虑到 希望在组织的运作中实施.
漏洞补救方面的挑战
围绕变焦平台提出的核心安全问题 到目前为止,相关的视频聊天劫持能力不足 端到端加密,以及最近发现的一些漏洞 在安装在用户设备上的客户端内. 之前发现的一个问题 在软件中,与Mac OSX设备上的权限升级有关 可能被用来实现恶意代码执行,或者在 恶意行为者,被用作进入组织的入口点 基础设施. 另一个涉及敏感信息披露的问题是 是否允许攻击者操纵用户泄露其用户信息 凭证无意中[2].
不断演变的威胁
虽然这些问题以前已经被发现,并且 显然对于使用这个平台的人来说,有着重大的意义 用户基数的增加,导致了安全研究人员和恶意行为者的增多 试图识别软件中的攻击向量以瞄准用户. 这已经 在软件中发现了三个零日漏洞 于2020年4月的前3天公布. 前两个漏洞[3] 可能允许攻击者注入 在变焦安装程序中使用恶意代码来实现权限升级. 这 可以与其他攻击媒介串联使用,如网络钓鱼攻击 针对个人或机构.
识别的另一个漏洞可能允许恶意参与者 执行恶意代码注入攻击,使攻击者 与变焦应用程序的访问权限相同,这意味着它们将是相同的 能够拦截和监视用户通过麦克风和网络摄像头使用的一部分 关于聊天.
最后一个问题于2020年4月3日公开提出[4],与数据使用不足有关 加密,这似乎是内部实现的. 它是高度 建议避免“滚动您自己的”加密实现并使用 建立和全面审查广泛可用的方法. 的 加密实现变焦的使用被确定为包含在 某些实例可能允许对已被拦截的加密数据进行加密 解密.
起步缓慢,但反应迅速
虽然变焦已经承认存在这些问题 并公开宣布他们正在解决这些问题, 他们正在进行的安全活动的性质仍然令人关切 流程. 安全研究人员此前一直对这种反应持批评态度 漏洞披露与公司补救之间的间隔时间. 3月30日 2020年,纽约总检察长利蒂夏·詹姆斯联系了该公司 询问极速正在采取的安全措施的大纲 解决这些问题,以及保障平台,特别是由于 用户群的膨胀[5]. 变焦发表了一封公开信 公开博客详述了他们已经采取的步骤,以及他们将要采取的步骤 将在未来90天内改善安全态势 整个平台.[6]
突出显示的步骤将包括冻结新功能 分配开发人员解决开放的安全问题和平台 硬化. 他们打算与第三方合作,比如安全架构师 并对渗透测试公司进行审计和安全评估 平台,增强他们现有的漏洞赏金平台和采用的方法 与用户透明,让他们了解他们做了什么 数据,以及可能与谁共享数据. 他们还发布了安全补丁 为Mac OSX和Microsoft Windows客户端修复了一些错误 漏洞公布.
实际上,尽管迄今为止公开提出的缺陷 令人关切的是,它们应该在上下文中加以考虑. 他们中的许多人至少需要 本地设备上的低特权用户帐户,这可能会大大减少 成功攻破设备的可能性,除非另一次攻击 成功地获得了初始访问权限. 在加密问题上 实现时,成功攻击所需要的重要资源 被执行使其成为一个相当低风险的攻击向量,并为大多数用户所接受 不太可能成为合法目标.
结论
与任何采用新的会议技术在 在这个变化的时期,组织应该问自己,他们是否 对会议平台上讨论的内容感到满意 有意或无意的披露会产生什么不利影响 内容导致业务.
应进一步考虑任何风险 安装软件可以带来终端设备的完整性. 而变焦现在显然在前灯,并将毫无疑问地采取 额外的步骤,以确保组织,他们可以交付,所以增加 关注很可能导致进一步的安全问题被发现.