在该公司的移动和桌面应用程序中发现一系列安全和隐私问题之后，这家流行的视频会议服务公司委托Zoom进行了渗透测试。

(资料图片)

Zoom的问题是糟糕的沟通、粗略的营销、违规和实际的安全漏洞……

窗口。人物adsbygoogle |专题|黑铝).push(可不,出于美观);

我们最近概述了大多数问题。

Zoom做出了一个深思熟虑的决定，将易用性置于安全性之上，而且它知道这种方法对大多数用户来说是有意义的。它还为那些需要它的人提供了更高的安全性。

例如，一种批评是，默认情况下，由同一主机组织的所有会议都具有相同的会议ID，因此具有相同的连接链接。这意味着任何曾经参加过你的会议的人都可以尝试其他时间的链接，并加入到任何正在进行的会议中。这是事实，但是如果主机愿意，它们可以创建特定于会议的ID(以及相应的链接)。

另一个批评是会议没有密码。这在默认情况下也是正确的，但是可以设置一个选项。

因此，Zoom的默认设置是让主持会议变得非常简单，但是存在一些安全漏洞。在实践中，对于普通的与家人或朋友的虚拟聚会来说，并没有太大的安全漏洞，因为坏人并没有太多的动机去尝试加入，而且人数少意味着会发现一个不熟悉的名字加入。尽管如此，公司应该将这些标记给新用户，并突出显示更安全的选项。

第三个批评是Zoom调用没有使用端到端加密。这并不罕见:大多数视频会议应用程序都不需要，因为在不牺牲易用性的情况下，很难实现。然而，糟糕的是Zoom的营销材料对此撒谎。该公司声称提供端到端加密服务，但实际情况并非如此。

还有其他不可否认的坏处。

例如，Zoom使用一种非常粗略的方法来简化浏览器会话。结果是，即使你删除了Zoom app，一个网站也有可能激活你的Mac网络摄像头。这个问题已经解决，但Zoom一开始就不应该这么做。

Zoom还使用了一个Facebook API，将数据发送到该服务。很多应用程序都使用Facebook的分析功能，但Zoom公司违反了规定，没有在其隐私政策中声明这一点。这个问题也得到了解决。

然而，我们刚这么做，就发现了另一个漏洞。

该公司的首席执行官已经在博客上发表了一篇文章，概述了公司已经采取的措施以及计划采取的措施。

迄今采取的行动项目列表包括一篇关于如何加强安全的博客文章;从iOS应用程序中删除Facebook SDK;教育用户安全指南;确保只有教师可以共享屏幕;纠正关于使用端到端加密的误导性陈述。

该公司随后制定了未来90天的计划。

“白盒”渗透测试意味着，安全研究人员将获得有关该公司的IT设置和应用程序源代码的全部信息，以最大限度地提高漏洞被识别的可能性。

如果这些都不能让你安心，那就看看我们推荐的10种缩放选择吧。

联邦贸易委员会:我们使用收入赚取汽车联盟链接。更多。