保障使用者隱私和資訊安全問題已成為時下焦點話題,對於一家市值超過 200 億美元的雲端視訊新創企業獨角獸 Zoom 來說,卻在這件事上受挫。
近日,名為「Prying-Eye」的漏洞遭公布,可讓入侵者掃描未受保護的視訊會議 ID,並監聽企業視訊會議內容。
據多家外媒報導,應用程式安全新創公司 Cequence 的部門 CQ Prime 威脅研究小組發表報告指出,早在今年 7 月就發現這個「Prying-Eye」漏洞。小組認為,由於許多視訊會議不受密碼保護,Zoom 和思科旗下的 Webex 可能受到攻擊。隨後,這兩家公司均為系統發布修補程式。
具體來說,攻擊者可利用 Prying-Eye 漏洞發起列舉攻擊(enumeration attack),透過自動檢測大眾應用程式,辨識數字或字母序列,最直接的做法就是測試 ID,如果會議不受密碼或其他身分驗證保護,就給攻擊者乘虛而入的機會。
研究小組使用旨在掃描和發現 Webex 和 Zoom 視訊會議 ID 的機器人,呼叫系統 API。
對此,CQ Prime 方面表示,當機器人在序列來回查詢會議 ID 時,它會確定 ID 是否有效及是否需要密碼。攻擊者可回覆並查看或收聽正在進行的會議,甚至還能透過該方法確定接下來使用者創建的會議 ID。
然而,這並不意味攻擊者只能看到這些資訊。一旦確定不受保護的會議 ID,攻擊者還可以獲得該會議房間個人更多資訊,例如姓名、郵件地址等。
值得注意的是,目前尚沒有跡象表明漏洞在 Zoom 或 Webex 遭利用。
思科提供的解決方案是,修復並發出漏洞錯誤警告的「詢問」。它會建議管理員保留預設配置,預設配置要求在創建會議時使用密碼。預設情況下,Webex 在會議設置過程,為不要求密碼保護的站點提供隨機生成的密碼;不過,如果站點允許,使用者也可以使用自己的密碼取代隨機密碼,或是禁用密碼保護。
Zoom 表示已改進伺服器保護功能,防止機器人攻擊;並正為視訊會議密碼設置問題發布新控制程式。這次升級將添加帳號、使用者等級等新設置,旨在讓帳號所有者和管理員對會議密碼有更多控制權。在此之前,使用者可要求使用密碼安排新會議,設置即時會議和個人會議 ID。
9 月 29 日起,對沒有 Zoom Room 的帳號預設啟用新密碼設置。11 月 23 日開始,對擁有 Zoom Room 的帳號預設啟用新的密碼設置。 早在今年 7 月,Zoom 就因使用者移除應用程式而無法從 Mac 刪除 Web 伺服器一事引發熱議。儘管 Zoom 解決漏洞,但後來蘋果被迫出面干預,以確保所有 Mac 使用者都受到保護。
在中國視訊會議市場,除了本土技術供應商,Zoom、Webex 等基於網路雲端視訊會議廠商主要透過代理商進入中國,提供產品支援同時,將完整解決方案的服務和營運交給本土代理商。
毫無疑問,Zoom 是雲端視訊領域炙手可熱的企業服務公司,於今年 4 月登陸那斯達克,上市首日股價大漲 72%,並一度突破 200 億美元市值。國際數據公司 International Data 估計,到 2022 年,Zoom 所在的細分市場價值可能高達 431 億美元。
創始人兼 CEO 袁征曾先後為 Webex、思科服務近 14 年,Zoom 的創立也直接衝著思科 Webex 而來,適合不同規模的企業使用。公開資料顯示,截至 2015 年,Zoom 在全球擁有超過 4,000 萬使用者,在中國市場,客戶範圍更涵蓋三一重工集團、農村商業銀行等企業。
然而,這段時間,Zoom 在中國市場的開拓卻頻遭挫折。
9 月,Zoom 用戶在眾多社群平台表示「Zoom 無法登陸,中國使用者無法使用 Zoom 國際版,無法發起 Zoom 會議」,隨後 Zoom 官網承認這消息,並表示工信部通知全面封鎖 Zoom 國際版伺服器,後期也會持續封鎖。
關於被封鎖的原因,「極有可能是因為 Zoom 的伺服器位於國外,而中國規定在境內從事通訊活動需持有經營許可證,且營運產生的個人資訊和重要數據需要在境內儲存。」申萬宏源證券分析師施鑫展受採訪時表示。
Zoom 在中國市場遭遇「封鎖」或許僅是開始,未來使用者將不得不尋找其他替代產品,那麼是否為中國雲端視訊供應商的新商機?
從 Zoom 本身市場格局來看,除了維持原有業務優勢,勢必將以拓展更多應用場景、產品及商業模式創新、加速國際化等方式搶占更多市占率。
如今有許多使用者對新型企業溝通方式的接受程度日漸提高,更多視訊會議供應商也意識到必須掙脫原有「會議」內涵的束縛,嘗試尋找基礎視訊能力之外,與行業應用深入整合的第二業務,例如雙師課堂、遠程診療、企業協作等新興場景的拓展。
對 Zoom 而言,接下來在中國市場面臨的最大風險勢必來自政策導向。在國家政策對資訊安全的要求下,Zoom 等海外企業想進入中國,將迎來愈嚴格的管控方式,整個中國視訊會議業的格局及走向也會有變化。