和许多教授一样,凯伦·威尔逊(Karen Wilson,化名)在三月下旬首次在线教授大学课程,因为COVID-19疫情导致面授课程暂停。她当时正在使用视频会议平台Zoom进行演讲。
“我讲课才十分钟,就开始听到笑声和窃笑声。接着,一个声音插进教室问道,‘这是什么课?’”她通过电子邮件说。当威尔逊问发生了什么时,“几个女孩异口同声地回答说她们应该在一个高中在线课堂里,她们很困惑。她们问了几个问题,然后很快就离开了。”
广告
但事情才刚刚开始。
“过了一会儿,另一个匿名人士,这次是一个男性,开始评论吸食大麻以及他上周发现的那种很棒的杂草。只能听到他的声音,看不到人。我要求他表明身份。他拒绝后,我让他离开,谢天谢地,他很快就离开了。”
她说,因为她刚开始使用Zoom,所以这次经历让她感到困惑和不知所措。
“我不确定声音来自哪里,以为可能是我的某个学生的背景噪音,”她说。“如果我对Zoom更熟悉,我就会立即将所有人的音频静音,但我当时是第一次在线使用它。我从没想过其他人可以通过拿到Zoom会议号来‘闯入’课堂。”
威尔逊刚刚遭遇了Zoom轰炸。“Zoom轰炸”是陌生人闯入他人Zoom会议的简称。有时,这些人可能只是在没人知道的情况下旁听。其他时候,他们会以愚蠢甚至威胁性的方式完全扰乱会议。
最终,威尔逊是幸运的。其他Zoom轰炸的受害者则遭受了仇恨言论、污言秽语、威胁和色情图片。
但是,怎么会有人能随意“闯入”一个私人会议呢?
“Zoom轰炸不过是在浏览器中枚举不同的URL组合,”俄亥俄州哥伦布市会计师事务所Schneider Downs的网络安全专家丹·德斯科(Dan Desko)说。
他举了一个例子:要找到一个Zoom会议,你需要在Zoom.us/后面加上一串数字,这串数字就是会议的识别号(例如,https://zoom.us/j/55555523222)。
“问题在于,如果会议没有密码保护,只需稍微改动几个数字,你就可能幸运地突然进入别人的会议,”他说。“当然,你必须在会议进行时恰好这么做,”他补充道。
为了测试这个漏洞,他自己进行了尝试。仅仅一分钟左右,他就偶然发现了一个合法的会议ID——但那个会议当时并没有进行。“从技术上讲,这有点像窃听或能够监视某人,”德斯科说。
但为什么Zoom会有这个特殊的漏洞呢?部分原因是Zoom在冠状病毒疫情期间用户数量呈指数级增长,从2019年12月的每日1000万用户猛增至3月的2亿每日用户。该公司根本没有为人们蜂拥而至地使用它进行课程、会议和与朋友的虚拟欢乐时光做好准备。
“Zoom主要是一个企业协作工具,允许人们无障碍地进行协作。与社交媒体平台不同,它以前不必设计管理用户不良行为的方式——直到现在,”澳大利亚格里菲斯大学应用伦理与社会技术研究讲师大卫·塔夫利(David Tuffley)在一次电子邮件采访中说。“他们的用户群已经大幅增长,不良行为也必然会随之而来。”
突然的用户流量激增也暴露了其他安全漏洞,例如暗网账户和缺乏加密。3月30日,联邦调查局(FBI)发布了一份警示,警告Zoom轰炸的风险。一些组织选择禁用Zoom。谷歌不允许其员工在他们的笔记本电脑上使用Zoom。德斯科说,所有这些都是因为Zoom未能足够迅速地解决其漏洞而造成的后果。
“在信息安全和网络安全领域,我们谈论三件事:机密性、完整性和可用性,”德斯科说。人们希望他们的会议(尤其是在商务场合)保持极度机密。
此外,他说,多伦多大学公民实验室“表明Zoom声称使用的加密技术并不像他们所说的那么强大。他们实际上使用的是一种相当容易破解的加密技术。”
他说,这需要几个月的时间来修复。(尽管Zoom已经修复了一些安全漏洞,但截至2020年8月,仍然有关于Zoom轰炸的报告。)
那么完整性呢?
随着Zoom扩大其服务器容量,它已开始使用位于中国的服务器,并配备中国员工。“很多人都在质疑这些工具的机密性,”德斯科说。这就是美国参议院要求成员避免使用Zoom的一个原因。五角大楼也在4月10日效仿。
广告
