标题：黑客公开50万售价出售零日漏洞，揭示Zoom爆红后的安全漏洞

大家好，我是零日情报局。Zoom最近又被曝出了一个高危漏洞，卖家直接开价50万美金全网叫卖。目前，漏洞详情还未曝光，但卖家已透露利用该漏洞可直接监视Zoom用户视频及呼叫。这就意味着，普通人中招是隐私泄露，政企付费用户中招那就可能是工业间谍活动。

形势急转直下看似坐过山车，可在零日眼中，Zoom掉入安全雷区的背后，却源自内部长期忽视安全建设、技术实力弱，以及外部遭遇黑客围堵三方面原因。原因一：长期忽视安全建设底层安全建设埋雷。Zoom火于当下，却开发于9年前。作为一款专攻云视频会议的软件，Zoom主打的是体验、功能、容量、简单、性价比。看似基于用户需求，且稳扎稳打的耗时9年积累了1000万活跃用户。但这里始终没有强调过安全能力，应用安全、数据安全、通信安全仿佛从不是Zoom考虑的问题。也许，即使没有遇到当下的风口，Zoom安全爆雷也是迟早的事情。

安全隐患早露端倪。就像问题的暴露，不仅是单纯的质变还要有量的积累，2019年活跃用户逼近千万时，Zoom开始曝出数据安全与隐私问题。Mac Zoom Client曝出允许任何恶意网站，可在未经许下启用摄像头的漏洞，或导致全世界75万Zoom企业用户曝光。风波刚过，又紧接着曝出Zoom被黑客监听通话。激起水花不大，却暴露了安全短板。

隐患由来已久，安全管理上也存在问题。参照苹果、谷歌、微软这些巨头，曝出漏洞后常常第一时间修复，少有Zoom这样迟缓的安全响应机制。19年3月，安全厂商向Zoom上报了两个安全漏洞。而Zoom的响应速度是先花10天时间确认漏洞再用长达2个半月时间直到6月才开始修复漏洞期间Zoom就这样“带洞裸奔”

凭风而起用户激增安全问题却依旧按部就班。数据泄露Bombing Zoom......3月Zoom安全问题刷屏但直到4月1日愚人节Zoom创始人才正式在官网发布告用户书不过期待安全解决方案的人要失望了针对一系列安全问题Z

Zoom的安全问题，主要原因有以下几点：

1.德不配位

Zoom对安全问题的忽视，以及拖沓的步调，正是做着超出自己安全能力边界的事情。

2.技术弱是原罪

表面来看是Zoom忽视安全，深究则与Zoom安全技术存在短板脱不开关系。从设计逻辑到技术的全角度安全问题。将用户数据发送到Facebook,允许虚拟会议主持人追踪参会者资料，陌生人利用截获会议编号或链接，侵入视频会议，恶作剧甚至发布仇恨言论、不雅图片，以及的云存储空间一次性泄露的15000会议视频......Zoom一再刷新着我们对安全底线的认知。虚假的隐私保密技术。端到端加密是被认为最私密的互联网通信方式，而宣称使用端到端加密的Zoom,却言过其实。 The Citizen Lab报告证实，Zoom实际上只在ECB模式下使用了简单的AES-128密钥。换句话说，Zoom这个“邮差”能看视频“信件”的内容，而且“接头暗号”太过简单，难以保证用户通信安全。不靠谱的代码开源预备案。3月，Zoom创始人公开表示，如果安全问题不解决，会考虑开源Zoom代码。从理论上来说闭源代码开源，是件可能触及商业模式的问题。但从安全问题上来看，却透着一丝“甩锅”的嫌疑。既然我自己没法解决安全问题，那就代码开源，企业用户自己动手吧。显然，这并不是补齐安全技术短板的最优解。从开发、建设到解决问题的能力，Zoom一直在暴露自身安全技术不足。安全技术差不丢人，但一边收费一边无法保证2亿月活用户的安全需求，就是错。

3.走热成黑客围堵目标

内部存在安全短板并不能最终使其短时间陷入安全旋涡。远程办公、线上社交的大潮下推动Zoom迎来几何式增长同时也让其成为了各路黑客眼中的肥羊。遭遇黑客密集火力。 安全问题暴露初期，Zoom面对的是黑客倒卖平台账号的数据安全问题而经过一个多月的发展Zoom已成为黑客五十万美金倒卖应用漏洞的存在。对黑客来说Zoom成为了盛产漏洞商品的原生土壤随时让他们做起无本万利的生意本季黑客眼里最肥目标2020年第一季度Zoom日活增加20倍从千万飙升至2亿一跃成为全球第一视频会议软件而2亿月活用户的背后代表着难以估量的公司、学校与机构这对黑客来说潜伏Zoom软件中捞到大鱼的可能远高于其他平台遭遇黑客高频行动期

抛开Zoom本身不谈，疫情突袭远程办公成常态的大环境下，安全隐患与频繁的黑客攻击同时到来。从针对普通网友、瞄准医疗机构到盯上政府机构，黑客攻击行动变得高频且密集，Zoom也就迎来了安全大考。

有媒体说这是少年Zoom的烦恼，可往往只有你弱的时候，坏人才最多。安全技术不过关，在黑客眼里也只有那句，“他还是个孩子，我们不能放过他”最为贴切。

风口上的Zoom成败尚早。在风口上，猪也能飞起来！Zoom虽不是猪，却实实在在是起飞后，才彻底暴露了安全的短板。即使Zoom删除了iOS客户端中的FacebookSDK、更新了隐私政策、提出了90天计划......做出一系列安全补救措施，但对2亿+付费用户，以及广大政企用户来说，远没有为了便捷牺牲安全，或是一句空头补救支票等待Zoom的安全升级。

疫情之下，美股10天历经4次熔断，在一片跳崖式下跌中，Zoom股价三个月内飙涨70%,可谓十分惊艳。但你不努力，自然有人努力取代你。云视频会议风口下，华为、思科WebEx、宝利通、微软Skype、谷歌等巨头正跃跃欲试地杀个回马枪，Zoom“炸子鸡”的优势正在丧失。

2019年上市当天，Zoom市值159亿美元 。而到了2020年4月16日16时收盘 ,Zoom美股市值高达419亿美元(约合人民币2962.33亿元),依然是一个势头凶猛的独角兽。本文没有任何诋毁Zoom的成分 ,不过真心建议Zoom认真对待安全问题。虽然已经聘请了Facebook前信息安全负责人担任安全顾问 ,着手应用安全升级 ,其实可以考虑寻找第三方企业提供安全技术支持 。