你所进行的云视频会议,可能正被人监听!200亿美金ToB独角兽Zoom受挫
雷锋网导语:保障用户隐私和信息安全问题已成为当下的焦点话题,对于一家市值已超过 200 亿美金的云视频企服独角兽 Zoom 来讲,却在这件事儿上栽了跟头。
近日,一个名为 “Prying-Eye” 的漏洞得到公布,该漏洞可让入侵者扫描未受保护的视频会议 ID 并监听企业的视频会议内容。
雷锋网 (公众号:雷锋网) 了解到,据多家外媒报道,“Prying-Eye”最早于今年 7 月发现,报告来自于应用程度安全初创公司 Cequence 的一个部门 CQ Prime 威胁研究小组。该研究小组认为,由于许多视频会议不受密码保护,Zoom 和思科旗下的 Webex 可受到攻击。随后,这两家公司均为其系统发布了补丁程序。
具体来讲,攻击者可以利用 Prying-Eye 漏洞发起枚举攻击(enumeration attack),该攻击可利用自动检测用作面向公众的应用程序的标识符的数字或字母序列,最直接的做法就是蛮力猜测 ID,如果会议不受密码或其他身份验证的保护,就留给了攻击者乘虚而入的机会。
研究小组使用了一种旨在扫描和发现 Webex 和 Zoom 视频会议 ID 的机器人以调用系统 API。
对此,CQ Prime 方面表示,当机器人在序列中循环查找有效会议 ID 时,它会确定 ID 是否有效以及是否需要密码。攻击者可回复并查看或收听正在进行中的会议,甚至还能通过该方法确定接下来用户创建的会议 ID。
然而,这并不意味着攻击者只能看到这些信息。一旦确定了不受保护的会议 ID,攻击者还可以获得有关该会议房间个人的更多信息,例如姓名、邮箱等。
值得注意的是,目前尚没有迹象表明该漏洞已在 Zoom 或 Webex 上被利用。
为此,思科给到的解决方案是,一个修复并发出漏洞错误警告的“顾问”。它会建议管理员保留默认配置,该默认配置要求在创建会议时使用密码。默认情况下,Webex 在会议设置过程中,为不要求密码保护的站点提供了随机生成的密码;不过,如果站点允许,用户也可以使用自己的密码替换该密码或禁用密码保护。
而 Zoom 表示已对服务器保护功能进行改进,以防止机器人攻击;并正为视频会议密码设置问题发布新的控件。此次升级将添加账户、组、用户级别等新设置,这一做法旨在让账户所有者和管理员对会议密码有更多的控制权。在此之前,用户可要求使用密码来安排新会议,设置即时会议和个人会议 ID。
9 月 29 日起,对没有 Zoom Room 的账户默认启用新的密码设置。11 月 23 日开始,对拥有 Zoom Room 的账户默认启用新的密码设置。
实际上,早在今年 7 月,Zoom 就因用户卸载该应用程序而无法从 Mac 中删除 Web 服务器一事而闹得沸沸杨。尽管 Zoom 解决了该漏洞,但后来苹果公司被迫出面进行干预以确保所有 Mac 用户都受到保护。
Zoom 在中国的“烦恼”
在中国的视频会议市场,除了本土技术供应商之外,Zoom、Webex 等基于互联网的云视频会议厂商主要通过代理商的方式进入中国,提供产品支持的同时将完整解决方案的服务和运营交给本土代理商。
毫无疑问,Zoom 是云视频领域炙手可热的企服公司,于今年 4 月登陆纳斯达克,上市首日股价大涨 72%,并一度突破 200 亿美金市值。国际数据公司 International Data 估计,到 2022 年,Zoom 所在的细分市场价值可能高达 431 亿美元。
其创始人创始人兼 CEO 袁征曾先后为 Webex、思科服务了近 14 年,Zoom 的创立也直接对标思科 Webex,适合不同规模的企业用户使用。公开资料显示,截至 2015 年,Zoom 在全球已经拥有超 4000 万用户,在国内市场,其客户涵盖了美的、三一集团、农商银行等企业。
然而,近段时间,Zoom 在中国市场的开拓却频遭挫折。
上月, Zoom 的用户在众多社交平台上表示“Zoom 无法访问,内地用户无法使用 Zoom 国际版,无法发起 Zoom 会议”,随后,Zoom 官网承认了这一消息,并表示到工信部通知已经全面封停 Zoom 国际版服务器,后期也会持续封停。
关于被关停的原因,“极有可能是因为 Zoom 的服务器位于国外,而我国规定在境内从事电信活动需持有经营许可证,且运营产生的个人信息和重要数据需要在境内存储。”申万宏源证券分析师施鑫展在采访中表示。
Zoom 在中国市场遭遇“被封”或许仅是一个开始,未来或将促使用户不得不寻找其他的替代产品,那么这是否是本土云视频供应商的新机遇?
从 Zoom 本身的市场格局上来看,除了维持原有的业务优势外,势必将通过拓展更多的应用场景、产品及商业模式创新、加速国际化等方式已抢占更多的市场份额。
在雷锋网看来,正如用户对新型企业沟通方式的接受程度日渐提高的当下,更多的视频会议供应商也意识到必须挣脱原有 “会议” 内涵的束缚,尝试寻找基础视频能力之外,与行业应用深入整合的第二业务,例如双师课堂、远程诊疗、企业协作等新兴场景的拓展。
对于 Zoom 而言,接下来在中国市场面临的最大风险势必来自政策的导向。国家政策对信息安全的强要求下,Zoom 等海外企业想要进入中国将迎来愈加严格的管控方式,整个中国视频会议行业的格局及走向也会有新的变化。
。