網(wǎng)絡(luò)安全科普：視頻會議也不安全？
一、視頻會議被圍觀


小白：大東東，疫情讓我們困在家里，公司還能正常運作么？


大東：當(dāng)然，現(xiàn)在互聯(lián)網(wǎng)這么發(fā)達，在家辦公也很方便。


小白：那是不是一整天都是視頻會議了？


大東：說到視頻會議，里面也隱含了不小的安全問題呢！


小白：視頻會議也出問題了？


大東：在疫情的影響下，視頻會議軟件迎來了發(fā)展中的“高光時刻”，但同時也面臨著前所未有的“安全與隱私”的危險。最近，某家廣受使用的云視頻會議軟件頻繁爆出安全問題，引起了大家對于視頻會議安全問題的討論。目前，多家重要合作企業(yè)都已宣布禁止使用該軟件。


小白：哇，這可是事關(guān)客戶公司的機密呢！快給我講講吧！


二、大話始末


大東：因為新冠肺炎疫情的全球蔓延，多個國家和地區(qū)的人們不得不選擇在家辦公或?qū)W習(xí)，視頻會議軟件也因此得到了巨大的流量和新增用戶。根據(jù) Apptopia 的數(shù)據(jù)，被爆出安全問題的該視頻會議軟件在3月份活躍用戶較去年同期增長了151%。


小白：疫情催生的發(fā)展……


大東：僅僅一周的時間，該軟件就先后被曝出向Facebook 發(fā)送用戶數(shù)據(jù)、泄露Windows 登錄憑證、未經(jīng)用戶同意通過預(yù)加載方式下載應(yīng)用程序、數(shù)萬隱私視頻遭泄漏等安全問題。


小白：天吶，看來問題不少啊！怎么突然就爆出這么多問題呢？


1. 向Facebook 發(fā)送用戶數(shù)據(jù)


大東：首先是向Facebook 發(fā)送用戶數(shù)據(jù)的問題，Motherboard 網(wǎng)站發(fā)現(xiàn)該款視頻會議軟件的iOS應(yīng)用正在通過“使用 Facebook 登錄”功能將數(shù)據(jù)發(fā)送到 Facebook，發(fā)送的數(shù)據(jù)包括手機型號、打開程序的時間、所在時區(qū)和城市、使用的電信運營商，甚至還包括了可用于廣告定位的標(biāo)識符。


小白：這個操作是用戶允許的么？


大東：據(jù)悉，該視頻會議軟件使用Facebook SDK 實現(xiàn)的“Facebook 登錄”功能，主要是為了給用戶提供訪問平臺的便利方法。但在調(diào)查中發(fā)現(xiàn)，即使你不是Facebook 用戶，也會被收集信息。


小白：為什么？非Facebook用戶是怎么被影響的？


大東：整個數(shù)據(jù)共享的過程是這樣的：用戶下載打開 App 后，它就會連接到 Facebook 的 Graph API。而這個 Graph API 就是開發(fā)者與Facebook 交流數(shù)據(jù)的主要方式。Facebook SDK功能確實是從用戶收集數(shù)據(jù)，但是收集的數(shù)據(jù)不包括個人用戶信息，而是包含用戶設(shè)備的數(shù)據(jù)。


小白：那得趕緊把這個問題給解決了。


大東：目前，該視頻會議軟件更新了iOS 應(yīng)用程序的版本，并改進了 Facebook登錄功能。刪除了Facebook SDK，重置該功能，用戶仍然可以通過瀏覽器使用Facebook 賬戶登錄Zoom，但是需要更新到最新版本，該功能才會生效。


小白：當(dāng)初設(shè)計的時候真是不小心。


2.?泄露 Windows 登錄憑證


大東：根據(jù)外媒報道，該視頻會議軟件的Windows 客戶端很容易受到NUC 路徑注入的攻擊，攻擊者可能會利用此路徑竊取單擊鏈接的用戶Windows 憑證。


小白：又出問題了？！


大東：據(jù)了解，使用該視頻會議軟件發(fā)送聊天消息時，發(fā)送的所有 URL 都會經(jīng)過轉(zhuǎn)換，方便其它聊天者點擊，并在默認(rèn)瀏覽器中打開。有安全研究員發(fā)現(xiàn)，該視頻會議軟件客戶端竟然將Windows 網(wǎng)絡(luò)的 UNC 路徑也換成了這種可單擊的鏈接。


小白：那會發(fā)生什么？


大東：當(dāng)用戶單擊 UNC 路徑鏈接時，Windows 會嘗試使用 SMB 文件共享協(xié)議連接到遠(yuǎn)程站點，打開遠(yuǎn)程路徑中的cat.jpg 文件。在默認(rèn)情況下，Windows 將發(fā)送用戶的登錄名和 NTLM 密碼哈希值，在這個階段，如果是個有經(jīng)驗的攻擊者，就可以借助 Hashcat 等免費工具來逆向運算。


小白：有什么后果？


大東：安全研究人員 Matthew Hickey對此進行了實測，并證實不但能在該視頻會議軟件中順利注入，而且可借助民用級GPU 和 CPU 來快速破解。除了能竊取到 Windows 登錄憑證，UNC 注入還可以啟動本地計算機上的程序，例如 CMD 命令提示符。


小白：又是一個大漏洞！



Windows客戶端（圖片來自網(wǎng)絡(luò)）


3.?未經(jīng)用戶同意通過預(yù)加載方式下載應(yīng)用程序


大東：問題還不止這些呢！有Twitter 用戶發(fā)文稱該視頻會議軟件的mac OS安裝程序在用戶沒有同意的情況下，會自動安裝，并且還會使用具有高度誤導(dǎo)性的標(biāo)題來獲取用戶權(quán)限。


小白：這好像惡意軟件的“套路”……


大東：據(jù)了解，該視頻會議軟件會使用預(yù)安裝腳本，使用捆綁的 7zip 手動解壓縮應(yīng)用程序，如果當(dāng)前用戶在 admin 組中 (不需要 root)，則將其安裝到 / Applications。


小白：怎么做到的？


大東：首先，該視頻會議軟件會使用 pkg 文件（一種安裝程序格式）在 mac OS 上分發(fā)客戶端，在用戶加入應(yīng)用上的某個會議時，系統(tǒng)會提示用戶下載并允許軟件。通常情況下，用戶是可以在該步驟中進行自定義和確認(rèn)安裝的操作。但是，該視頻會議軟件的安裝程序跳過了這些步驟，要求允許“pre-requirement”腳本運行，該腳本通常是在正式安裝之前運行，用來檢測軟件是否與計算機兼容。


小白：竟然偷偷省略了重要步驟？！


大東：需要注意的是，雖然“pre-requirement”腳本在運行之前會提示用戶，但提示信息卻是“will determine if the software can be installed”，一般來說，用戶會點擊Continue，但你不知道這時應(yīng)用已經(jīng)開始安裝了。更騷的操作是，安裝程序還附帶了一個捆綁版本的 7zip，可以解壓縮。


小白：這種捆綁最討厭了。


大東：如果用戶是admin，那么腳本會將提取到的客戶端直接復(fù)制到 /Applications 目錄中，并進行一些清理工作，就完成安裝；如果用戶沒有權(quán)限寫入 /Applications，且尚未安裝該視頻會議軟件客戶端，那么，將會被復(fù)制到本地應(yīng)用程序目錄/Users//Applications；如果用戶已經(jīng)在 /Applications 中安裝了，但沒有權(quán)限更新，那么該腳本會啟動輔助工具（同樣被打包在 pkg 文件中），該工具使用已廢棄的系統(tǒng) API 來顯示密碼提示，以便運行具有 root 權(quán)限的“runwithroot”腳本。


小白：套路真多，所有可能都安排好了。



爆出自動安裝腳本問題（圖片來自網(wǎng)絡(luò)）


4.?數(shù)萬隱私視頻遭泄漏


大東：近日，外媒又爆出該視頻軟件存在的重大安全漏洞：數(shù)以萬計的私人會議視頻被上傳至公開網(wǎng)頁，任何人都可在線圍觀。


小白：哇！很驚悚！


大東：向外媒爆料的是美國國家安全局的前研究員帕特里克·杰克遜（Patrick Jackson），他爆料稱在開放的云存儲空間中一次性搜到了15000個這樣的視頻。


小白：為啥連最重要的會議視頻都會發(fā)生泄漏？


大東：在視頻通話時，該視頻會議軟件在默認(rèn)狀態(tài)下是不會錄制視頻的，但是會議主持人可以無需經(jīng)過參加者同意錄制視頻并保存在Zoom服務(wù)器或任何云端、公開網(wǎng)站，而且錄制好的視頻都是以相同的命名方式保存。根據(jù)這一默認(rèn)命名規(guī)律，用免費的在線搜索引擎掃描了一下開放的云存儲空間，一次性搜索出了15000個視頻。另外，還有一些視頻保存在未受保護的Amazon存儲桶中，用戶無意間改成了公開訪問，YouTube和Vimeo也能找到會議視頻。


小白：這也太坑了！15000個視頻就足以說明這不是用戶的粗心大意，而是產(chǎn)品的設(shè)計問題。


大東：是的，該視頻會議軟件應(yīng)該在提醒用戶保護好視頻方面做得更好，在設(shè)計上做一些調(diào)整，例如使用一種無法預(yù)測的方式命名視頻，讓視頻能難在公開領(lǐng)域找到。


小白：咱小用戶很害怕??！



會議視頻遭到泄漏（圖片來自網(wǎng)絡(luò)）


三、嚴(yán)峻的隱私安全問題


小白：安全問題頻出，視頻會議軟件還敢用嗎？


大東：該視頻會議軟件已宣布在接下來的90 天內(nèi)將停止功能更新，轉(zhuǎn)向安全維護和 BUG 修復(fù)，也會投入資源去識別、定位和解決問題，甚至?xí)埖谌絽⑴c對軟件進行“全面審查”。


小白：是該好好整整安全問題了！


大東：當(dāng)然，不是只有該視頻軟件存在安全問題，隨著疫情的發(fā)展，各個國家和地區(qū)都開始鼓勵學(xué)生在線學(xué)習(xí)，因此在線學(xué)習(xí)平臺也成為了攻擊目標(biāo)，研究人員發(fā)現(xiàn)了偽裝成合法 Google Classroom 的釣魚網(wǎng)站，例如 googloclassroom \ .com 和 googieclassroom \.com，來誘導(dǎo)用戶下載惡意軟件。


小白：這也督促了這些軟件對于安全問題的重視和改進。


大東：我們作為用戶可以選擇更適合自己的軟件，但同時也要盡可能地做好隱私自我防護。


小白：怎么防？


大東：比如在視頻過程中，移除公共wifi連接，即使更新視頻平臺，跨VPN部署公共防火墻，監(jiān)控和規(guī)范員工設(shè)備，堅持多因素身份驗證而不是單一密碼等等操作。


小白：好繁瑣吶！


大東：這些措施都是為了減少那些攻擊者侵入你的設(shè)備的機會。視頻會議軟件漏洞揭示的教訓(xùn)是，安全是每個參與提供和使用視頻連接的人的責(zé)任。


小白：是的！每個人都應(yīng)該重視！


來源：中國科學(xué)院計算技術(shù)研究所