一个新的 Zoom 漏洞正在向陌生人泄露私人数据

持续的冠状病毒大流行使公司依赖工作协作和视频会议应用程序，例如 Slack 和 Zoom。 虽然 Zoom 一直享有新的声誉，但该公司也一直是攻击的目标，并且正在处理漏洞和安全漏洞。

今天早些时候我们 报道 关于一个安全漏洞，它允许您与之聊天的任何人窃取您的 Windows 登录凭据。 现在， 《维斯》杂志 发布了一份报告，指出了 Zoom 的另一个缺陷。 根据 Vice 的说法，Zoom 正在泄露电子邮件地址、用户照片，并允许一些用户与陌生人发起视频通话。 这是因为应用程序如何处理它认为为同一组织工作的联系人。

显然，该公司有一个名为“公司目录”，允许用户添加具有相同域的其他人，以便更容易找到可以呼叫的人。 该功能旨在成为组织内的用户，每个人都共享相同的域名。 但是，该软件将某些私有域视为公司的一部分，因此，它将成千上万的随机人员添加到池中，就好像他们都在同一家公司工作一样，彼此之间会暴露他们的个人信息。

向 Vice 举报该问题的用户表示，他可以看到他们的全名、邮件地址、个人资料照片（如果有的话）、他们的状态，并且您可以视频呼叫他们。 他还指出，要利用该漏洞，用户需要使用非标准电子邮件注册，例如 xs4all.nl、dds.nl 和 quicknet.nl。 这些都是提供电子邮件服务的荷兰互联网服务提供商 (ISP)。

问题在于 Zoom 的“公司目录”设置，如果他们使用共享同一域的电子邮件地址注册，它会自动将其他人添加到用户的联系人列表中。 当域属于单个公司时，这可以更容易地找到要呼叫的特定同事。 但多名 Zoom 用户表示，他们使用个人电子邮件地址注册，Zoom 将他们与数千名其他人汇集在一起​​，就好像他们都在同一家公司工作一样，将他们的个人信息暴露给彼此。

–副

Vice 还发现其他人在 Twitter 上抱怨同样的问题。 所有用户都使用荷兰非标准电子邮件登录，该应用程序假定他们是公司的一部分。

https://twitter.com/JJVLebon/status/1242175850306580486

荷兰 ISP XS4ALL 发推文回应投诉, “这是我们无法禁用的。 你可以看看 Zoom 是否能帮你解决这个问题。” 另一位荷兰 ISP DDS 告诉 Vice，它知道这个问题，但没有直接从客户那里听到任何消息。 另一方面，Zoom 向 Vice 发表了以下声明：

Zoom 维护着一个域黑名单，并定期主动识别要添加的域。 关于您在笔记中突出显示的特定域，这些域现在已列入黑名单。

- 飞涨

此外，该公司还 指向网站的一部分 用户可以请求从公司目录功能中删除其他域。 不幸的是，这不是该公司第一次陷入困境。 早在 2019 年，一名研究人员就发现了一个漏洞，该漏洞允许黑客在用户不知情的情况下控制网络摄像头。

此前 EFF指出 主持人如何监控参与者并了解某个窗口 Zoom 窗口是否处于焦点以及用户是否录制了视频通话，然后 Zoom 管理员能够“访问该录制的通话的内容，包括视频、音频、脚本和聊天文件，以及访问共享、分析和云管理权限”。 上周，Zoom 被发现与 Facebook 共享数据 就在昨天，我们 覆盖 Zoom 虚假声称群组通话中的端到端加密。

更新：

在接下来的 90 天内，Zoom 将利用其所有资源主动更好地识别、解决和修复安全和隐私问题。 因此，Zoom 在接下来的 3 个月内不会添加任何新功能。 它还将与第三方专家和代表用户进行全面审查，以了解和确保其服务的安全性。 了解有关此公告的更多信息 此处.