从Zoom连环爆雷，聊聊会议软件的安全水位

编者按：本文来自微信公众号“脑极体”（ID:unity007），作者： 藏狐，36氪经授权发布。

在家办公、上课成为生活首选，不少国内网友可能会表示“这集我看过”。

但接下来的剧情却有些出人意料。

云视频会议协作工具Zoom使用量暴涨，后续发展却不是类似“小学生给钉钉好评五星分期付清”的常规反弹，而是以重大安全漏洞被全网质疑，甚至被FBI警告。这就有点玩大了啊！

其实早在2019年7月，就曾传出Zoom软件加密缺陷的新闻，伴随着使用人数短时间内突破2亿人，终于摧毁了品牌的堤防。Zoom的“先天bug”开始出现：

比如安全加密手段不严，导致数以万计的私人Zoom视频被上传至公开网页，任何人都可在线围观，有的还包括参会人员的个人信息；

甚至还被黑客攻击（又称“Zoom Bombing”），有多个Zoom网络教室和电话会议频遭“劫持”，在视频会议期间播放种族歧视甚至色情内容；

这也导致猛涨没持续多久，Zoom平台就面临来自SpaceX、NASA等机构的禁用，纽约市在内的某些学区禁止使用Zoom平台来网上授课。

有专业人士认为，只有彻底重建Zoom云端会议的安全技术才能确保会议内容全程加密，在停止更新整改的90天内，想要做到这一点几乎是不可能的。

显然，Zoom错失了这一机遇。但值得注意的是，远程办公行业并非危机四伏，毕竟其他上亿承载量的软件可是坚壁清野、固若金汤。

Zoom到底做了什么？会议软件的安全水位

首先回归到Zoom爆雷的核心原因。

一方面，是其技术本身的缺位。

正如其创始人兼首席执行官袁征所说——“我们的加密设计可以做得更好”。作为海外创业团队，Zoom并不具备应对亿级规模用户的先验意识，这使其内部安全设计中，存在先天的短板。

在Pomerantz律师事务所发起的、针对Zoom的集体诉讼中，就以此为核心打击点，直指Zoom缺少足够的数据隐私和安全措施，该公司的视频通信服务没有端到端加密，就公司的业务、运营和合规政策做出了重大虚假和误导性的陈述。

因为Zoom自称是基于AES-256算法进行端到端加密，但多伦多大学研究人员发现Zoom实际上用的是更弱的AES-128算法，进行的是“传输”加密。

二者之间有何区别呢？

端到端加密（E2EE），又称脱线加密或包加密，每个报文包均是独立被加密的，使得消息在整个传输过程中均受到保护，所以即使有节点被损坏也不会使消息泄露。

所以攻击者想要篡改通信内容，也成了不太可能完成的任务，是一种目前比较安全的通信系统。就相当于海外直邮，而不是代理转发。

而AEW-128这类低等级的加密算法呢，加解密中每轮的密钥分别由初始密钥扩展得到。换句话说，只要对每一步操作进行逆向处理，按照相反的顺序进行解密即可恢复明文。

也难怪黑客能直接攻击视频会议的漏洞了。

但这样做有什么影响呢？

一是需要使用安全级别较高的加密算法，以确保传输数据能够得到最高级别的安全保护，“有选择性地加密”也会带来额外的算力成本和资源需求。对服务方的安全意识和技术水平提出了更高的要求。

二是阻碍了平台方的数据感知。由于互联网服务提供商、通信服务提供商、以及电信服务提供商都无法获取到这类通信数据，对于许多需要以数据驱动运维策略的平台来说，无疑缺少了重要的数据养料。

显然，可以访问用户音频和视频内容的Zoom，在事实层面都使用了更容易被修改和攻击的技术。Zoom公司的首席财务官斯塔伯格就曾直接表示，面对突如其来的“流量高峰”，高管们也没有考虑因为使用量激增而引入新的技术。

Zoom爆雷的另一个短板，则是产品思维的缺失。

作为一个创业不到两年的平台，Zoom在产品细节上考虑的也不够周全，由此也埋下了安全隐患。

举个例子，会议主持人可以无需参加者同意录制视频，并将其保存在Zoom服务器或任何云端、公开网站。而且，录制好的Zoom视频都默认以相同的命名方式来保存。

这就导致了两个问题：首先是命名规则很容易被破解，有网友利用免费的在线搜索引擎扫描了一下开放的云存储空间，一次性搜索出了15000个视频。

另外则是对用户的权益告知不到位，如果有用户通过Facebook等社交网站登录Zoom，那么很可能无意间将空间改成公开访问，自己的YouTube上也能找到Zoom视频。据《华盛顿邮报》的报道，他们据此看到的视频有小公司的财务会议，小学生的网课，甚至家庭内部的私密谈话等等。

前Facebook安全主管、现任斯坦福互联网天文台(Stanford Internet Observatory)负责人Alex Stamos表示，Zoom 的问题包括从愚蠢的设计到严重的产品安全缺陷。而在事件频繁发生后，Zoom也紧急应对，比如停止更新，专注于隐私和安全问题；改变了学校的默认设置，只允许教师共享他们的屏幕等等。

当然，这种西方媒体炸裂式的口诛笔伐，也与Zoom的中国背景不无关系。一方面，相较于同业务竞争对手Avaya、思科和微软等企业， Zoom的成本优势源于开发人员都位于中国，数据流“会经过位于中国的服务器”，也成为英国广播公司等媒体十分敏感的话题。

此外，在1-3月的全球股市“黑天鹅”期间，Zoom 的股价涨幅却超过了 100%，市值翻了一倍，其创始人、华人移民袁征财富增幅达到77%，这次“爆雷”未尝不是海外媒体在疫情期间的情绪释放。

云时代的网络安全，深而广的技术模具

那么，远程会议的安全水位到底应该有多高？我想这次诸多内地软件都交出了不错的答卷。

以国内主流云厂商的发展趋势来看，一个满足亿级用户规模的会议平台，其安全策略主要体现在四个方面：

一是云原生安全、全局防御。

今天，众多远程视频会议都是借助云网络来提供服务的，因此，深入到云端的信息安全保障对于会议系统来说是重中之重。

公有云、私有云、混合云等多种服务的出现，让互联网企业会面对不一样的资源管理、不一致的安全策略、不同的底层架构、不同的安全工具，由此也必然造成数据隐私、运维人员短缺等问题，因此越来越多的云服务商倾向于以统一、全面覆盖的方式来进行安全设计，将网络的安全水位提升到云原生级别。

二是全场景覆盖、实时监测。

在安全架构上，云平台需要将内部身份访问、物理安全、硬件安全、虚拟化安全等全面覆盖。具体到场景中，主要有以下几种：

1.业务安全。简单来说就是对客户的网络内容、身份验证等进行风控，像是自动鉴别色情内容的上传、防止政策红线等等；

2.应用安全。对于App的运行环境、用户服务和数据保护、秘钥管理等，由云端进行高等级的全链路加密，避免发生类似Zoom这种数据外流的情况。

3.基础安全。这一点则是在普通用户感知不到的底层架构，比如主机服务器的灾备，来自中间件、第三方组件的高危漏洞，应对黑客发起的网络攻击，并快速阻拦及修复。

三是智能全链路，AI使能。

正如前面所说，云端也对产业安全提出了更为苛刻的新要求，这就让手握AI武器的新云服务商，开始向亚马逊等发起冲击。

比如这次一些Zoom视频的暴露，就源于将视频保存在未受保护的存储桶中，用户无意间改成了公开访问。

值得注意的是，无论是快速奇袭Amazon的谷歌云，还是国内的华为云、百度智能云、阿里云智能，都将AI作为自身云解决方案的核心能力。

比如通过AI对漏洞进行优先级排序，不断进行安全巡检和漏洞评估，及时监视攻击活动。使用NLP技术整合威胁情报的整合，网络上下文分析漏洞的暴露面，并优先修复风险最大的漏洞，想必Zoom事件不至于发酵到今天这种境况。

四是高安全意识，聚焦媒体。

可以预知的是，远程会议将在很长一段时间内，成为办公学习的主角。

那么除了上述基础层面的安全结构之外，涉及到远程会议的音视频媒体技术，自然也要在安全性上面重度押注。

这一方面需要与云服务厂商进行深度合作与打磨，将媒体网络技术、编解码技术等与安全算法相融合；

另外则需要会议软件平台自身提升对安全性技术的投入和重视。

以Netflix为例，一直以流媒体视频著称的奈飞，就专门成立了一个由80名员工组成的安全团队，自主开发了很多安全软件，以针对性地应对网络安全问题，而不是直接使用大型安全公司提供的通用模式。

原因也很简单，只有自己的安全团队，才能填补上“最后10%”安全能力。

Zoom的踩雷告诉我们，“才不配位”，必有灾殃；而对安全这柄利剑的敬畏，应该从一开始就悬在互联网公司头上。