一個新的 Zoom 漏洞正在向陌生人洩露私人數據

持續的冠狀病毒大流行使公司依賴於工作協作和視頻會議應用程序，例如 Slack 和 Zoom。 雖然 Zoom 一直享有新的聲譽，但該公司也一直是攻擊的目標，​​並且正在處理漏洞和安全漏洞。

今天早些時候我們 報導 關於允許與您聊天的任何人竊取您的 Windows 登錄憑據的安全漏洞。 現在， 副 發布了一份報告，指出了 Zoom 的另一個缺陷。 根據 Vice 的說法，Zoom 正在洩露電子郵件地址、用戶照片，並允許一些用戶與陌生人發起視頻通話。 這是因為應用程序如何處理它認為為同一組織工作的聯繫人。

顯然，該公司有一個名為“公司目錄”，允許用戶添加具有相同域的其他人，以便更容易找到可以呼叫人。 該功能旨在成為組織內的用戶，每個人都共享相同的域名。 但是，該軟件將某些私有域視為公司的一部分，因此，它將數千名隨機人員添加到池中，就好像他們都在同一家公司工作一樣，將他們的個人信息暴露給彼此。

向 Vice 舉報該問題的用戶表示，他可以看到他們的全名、郵件地址、個人資料照片（如果有的話）、他們的狀態，並且您可以視頻呼叫他們。 他還指出，要利用該漏洞，用戶需要使用非標準電子郵件註冊，例如 xs4all.nl、dds.nl 和 quicknet.nl。 這些都是提供電子郵件服務的荷蘭互聯網服務提供商 (ISP)。

問題在於 Zoom 的“公司目錄”設置，如果他們使用共享同一域的電子郵件地址註冊，它會自動將其他人添加到用戶的聯繫人列表中。 當域屬於單個公司時，這可以更容易地找到要呼叫的特定同事。 但多名 Zoom 用戶表示，他們使用個人電子郵件地址註冊，Zoom 將他們與數千名其他人匯集在一起，就好像他們都在同一家公司工作一樣，將他們的個人信息暴露給彼此。

– 副

Vice 還發現其他人在 Twitter 上抱怨同樣的問題。 所有用戶都使用荷蘭非標準電子郵件登錄，該應用程序假定他們是公司的一部分。

https://twitter.com/JJVLebon/status/1242175850306580486

荷蘭 ISP XS4ALL 發推文回應投訴, “這是我們無法禁用的。 你可以看看 Zoom 是否能幫你解決這個問題。” 另一位荷蘭 ISP DDS 告訴 Vice，它知道這個問題，但沒有直接從客戶那裡聽到任何消息。 另一方面，Zoom 向 Vice 發表了以下聲明：

Zoom 維護著一個域黑名單，並定期主動識別要添加的域。 關於您在筆記中突出顯示的特定域，這些域現在已列入黑名單。

- 飛漲

此外，該公司還 指向網站的一部分 用戶可以請求從公司目錄功能中刪除其他域。 不幸的是，這不是該公司第一次陷入困境。 早在 2019 年，一名研究人員就發現了一個漏洞，該漏洞允許黑客在用戶不知情的情況下控製網絡攝像頭。

此前 EFF指出 主持人如何監控參與者並了解某個窗口 Zoom 窗口是否處於焦點以及用戶是否錄製了視頻通話，然後 Zoom 管理員能夠“訪問該錄製的通話的內容，包括視頻、音頻、腳本和聊天文件，以及訪問共享、分析和雲管理權限”。 上週，Zoom 被發現與 Facebook 共享數據 就在昨天，我們 覆蓋 Zoom 虛假聲稱群組通話中的端到端加密。

更新：

在接下來的 90 天內，Zoom 將利用其所有資源主動更好地識別、解決和修復安全和隱私問題。 因此，Zoom 在接下來的 3 個月內不會添加任何新功能。 它還將與第三方專家和代表用戶進行全面審查，以了解和確保其服務的安全性。 了解有關此公告的更多信息 点击這裡.