疫情之下，远程办公变成了刚需，云视频会议的“用武之地”也越来越多。

　　应用商店情报公司SensorTower发布的一份相关报告显示，Zoom的下载量在2月和3月位居全球排行榜榜首，在美国、英国和欧洲其他地区的下载量继续居高不下。在创纪录的一周下载量中，Zoom的下载量是2019年第四季度美国每周平均下载量的14倍。英国的下载量也是第四季度每周平均下载量的20多倍，法国是22倍，德国是17倍，西班牙是27倍，意大利更是达到55倍，当之无愧成为国外办公的软件。

　　不过，Zoom最近却接连被曝出安全隐患，甚至FBI都对其发出警告，NASA、SpaceX还要求员工禁用，那么，作为视频会议“黑马”的Zoom究竟做错了什么？

　　不止一次的安全隐患事件

　　3月26日，Motherboard刊文指出，在iOS系统下载或打开ZoomApp时，App内嵌的FacebookSDK（软件开发工具包）会向Facebook传送用户的手机型号、时区、城市、运营商以及广告唯一标识符等信息，而iOS版本的Zoom未在隐私条款中提前说明，就将用户数据共享给脸书，即便用户没有脸书账号也是如此。

　　随后，Zoom承认了这个漏洞。他们表示，将在近日删除脸书的SDK，并重新配置该功能。

　　巧合的是，3月31日，Zoom的另一个功能设置漏洞被Motherboard的同一个作者发现。

　　据报道，Windows版Zoom客户端爆出了容易受到UNC路径注入攻击的安全漏洞。Zoom的“公司目录”下会展示使用同一邮箱域名的同事姓名、头像和邮箱，由系统自动判断，省掉了一个个添加同事的麻烦。但也带来了一个隐患：如果用户用私人邮箱注册，可能会看到同样使用该邮箱域名的陌生人，而攻击者利用聊天模块的漏洞，窃取点击相关链接的用户的Windows登陆凭据。

　　研究人员称漏洞可能使本地、非特权攻击者具有根本权限，并允许他们访问受害者的麦克风和摄像机。

　　此外，除了窃取Windows登陆凭据，研究人员还透露，通过点击链接的方式，UNC注入还适用于启动本地计算机上的程序（比如CMD命令提示符）。

　　不过，值得庆幸的是，该漏洞仅影响Zoom的Windows客户端。在Apple的macOS上，Zoom客户端是不会允许该链接生效的。

　　值得关注的是，美国联邦调查局（FBI）波士顿办公室在美国当地时间本周一发布了一份关于Zoom的警告，提醒用户不要在Zoom进行公开会议或者广泛分享链接，其还谈到此前已经发生了多起身份不明的人入侵学校网络课程的事件。

　　3月28日SpaceX在发给员工的一封电子邮件中要求员工立即停止使用Zoom。信中谈到：“我们知道，我们中的很多人正在使用这一工具进行会议。但请使用电子邮件、短信或者电话作为代替通信的手段。”

　　与此同时，美国航天局发言人斯蒂芬妮·希尔霍尔茨也表示，NASA也已经禁止员工使用Zoom。

　　所以，难免有人会问这个视频会议界的“黑马”究竟是哪里出了问题？

　　Zoom为何屡被暴露安全隐私问题？

　　Zoom在其网站和安全性白皮书中声明，其支持会议的端到端加密。但是，安全人员的最新研究表明，事实并非如此。

　　事实上，Zoom的确使用了TLS加密，它被广泛用于HTTPS超文本传输，这意味着，Zoom服务器到用户个人之间的传输处于加密状态，但是，“端到端加密”通常是指完全保护用户之间的内容，而公司并没有访问权限，类似于Signal或WhatsApp。而Zoom没有提供这种级别的加密，这使得“端到端”的使用极具误导性。

　　也就是说，虽然用户和Zoom服务器之间的连接被加密，但是并不能阻止Zoom本身看到呼叫过程。然而，Zoom称，在隐私保护方面，Zoom仅获取用户有限的操作系统版本、IP地址、硬件设备等有限信息，也不允许员工有权访问用户会议内容以及贩卖用户资料。

　　值得注意的是，在其隐私权政策中，在“Zoom会出售个人数据吗？”条目下，Zoom的说法是：“取决于您所说的‘卖出'。”Zoom的政策虽然声称不会将个人数据出售给第三方，但却会与这些公司的“第三方”共享个人数据目的。

　　这就有点“自相矛盾”了，我是该相信你还是不相信你呢？

　　除此之外，Zoom上还有一个默认设置，允许任何会议参与者在没有得到会议主持人许可的情况下共享他们的屏幕。而任何拥有公共会议链接的人都可以加入其中。有安全人员还爆料称，关于Zoom公共会议的链接在Facebook群组和Discord聊天中进行交易，人们在Twitter和公开页面上也很容易找到这类链接。

　　这无疑为黑客的入侵提供了一种更为便捷的通道。

　　网友们也表示，难道国内的钉钉、腾讯会议不不香吗？

　　如何保护用户安全？

　　那么，对于继续使用Zoom来办公的用户，他们要如何保障安全呢？对此，安全研究人员也给出了一些建议：

　　·对于来自未知发件人的电子邮件和文件要小心。

　　·不要打开未知的附件或点击电子邮件中的链接。小心类似的域名，拼写错误的电子邮件和网站，以及不熟悉的电子邮件发送者。

　　·请勿使用社交帐号登录Zoom：这样做可以节省时间，但是很不安全，会大大增加Zoom可以访问的个人隐私数据量。

　　·在Zoom通话期间使用两个设备：如果您正在计算机上参加Zoom通话，请使用手机检查电子邮件或与其他通话参与者聊天。

　　·保持Zoom应用程序更新：Zoom从其最新版本的应用程序中删除了远程Web服务器。如果您最近下载了Zoom，则无需担心此特定漏洞。