Zoom安全隱私的10個技巧

全球幾乎都在進行社會隔離等措施,在這種情況下,人們快速搜尋各種有效的溝通方式。據報導,Zoom因其易用性和價格優勢快速佔據了市場,但用戶很快發現,Zoom的開發者並沒有完全準備好接受這種級別的關注。

全球大量用戶的湧入和廣泛使用迅速暴露了Zoom的缺陷。儘管該公司快速開展了大量工作,處理了安全研究人員發現的問題,但正如其他所有服務,更新代碼無法解決所有的問題,需要用戶額外注意的事項依然存在。因此,我們為Zoom用戶提供了10條安全和隱私提示,幫助用戶更好地使用服務。

1. 保護你的帳號

設置Zoom帳號和其他平台帳號一樣,你需要遵循保持帳號安全的基本規則。使用獨特的強密碼並設置雙重認證能夠更好地保護你的帳號,即便帳號數據洩漏(目前還未發生這樣的事件),也能加大入侵者破解的難度。

不過Zoom還有一個額外需要用戶注意的問題。在用戶註冊後,除了帳號和密碼之外,還將收到一個個人會議I4,請記得千萬不要公開這個I4。由於Zoom提供了”使用個人會議I4創建公開會議”的選項,導致這個I4很容易被洩漏。如果這種情況真的發生了,那麼知曉你PMI的人就能加入你主持的任何一場會議。因此,在分享這一訊息的時候,請格外小心謹慎。

2. 使用工作信箱註冊Zoom帳號

Zoom有一個奇怪小問題(在寫這篇文章時,該問題還未被修復),它在默認情況下,會將同一域名的信箱視為同一家企業的帳號,並將聯繫人詳情與同組的成員分享。除非註冊信箱使用的是像@gmail.com或@yahoo.com這種非常普遍的域名,如果用戶使用的是類似@yan4ex.kz(哈薩克斯坦的一家公共信箱服務)這樣的域名,就會出現帳號統統被劃入小型信箱服務商域名小組的情況。

因此,在註冊Zoom帳號時,最好使用你的工作信箱,讓同事看見你的聯繫詳情應該不是什麼大問題。如果你沒有工作信箱,那麼也可以使用知名的公共域名一次性帳號,確保你的個人訊息不外露。

3. 不要落入假冒Zoom軟體的陷阱

卡巴斯基安全研究員4enis Parinov發現,在今年三月,文件名中包含主流視頻會議服務(如Webex、GoToMeeting、Zoom等)的惡意文件數量較上年同期增加了大約兩倍。這表示,犯罪分子很有可能正在利用Zoom和其他同類應用的熱度,試圖將惡意軟體偽裝成視頻會議客戶端。

請千萬保持警惕,不要落入他們的陷阱!通過Zoom的官方網站zoom.us安全下載Mac和PC的客戶端,通過App StoreGoogle Play下載移動端程式。

4. 不要使用社交媒體分享會議連結

有時你想要進行公共活動,而如今在線會議是唯一的選擇,這也是Zoom吸引到更多用戶的原因。但即便你所舉辦的這項活動是完全公開的,也應該避免在社交媒體上分享會議連結。

如果你在閱讀這篇文章前,就已經對Zoom有所了解,那麼你應該也聽說過Zoombombing。這是Techcrunch記者Josh Constine發明的詞,描述使用攻擊性內容擾亂Zoom會議正常進行的棚子。現在4iscor4和4Chan上就有一些帖子在談論他們的下一個攻擊目標。

這些噴子到底是從哪裡獲取有關線上活動的訊息呢?沒錯,就是社交媒體。所以,最好還是避免公開Zoom會議的連結。如果出於某些原因不得不公開,那麼記得關閉使用個人會議I4這個選項。

5. 使用密碼保護會議

為會議設置密碼仍然是避開不速之客的最佳方法。最近,Zoom在默認情況下就會打開密碼保護,這一舉措一定程度上提升了會議的安全性。不過,記得別把Zoom帳號密碼和會議密碼搞混了。和會議連結一樣,會議密碼也不應該出現在社交媒體或其他任何公開渠道,不然就白費勁設置密碼,也無法阻擋網路噴子的惡意攻擊了。

6. 開啟等待進入會議

另一項會議控制的設置叫做會議等候室,近期也被設定為默認開啟的狀態。這一功能讓所有會議參與者進入”等候室”,直到主持人通過後方可加入會議。這就給了會議發起人更多的權限,即便有人通過其他途徑獲取了會議密碼,也必須通過主持人才能進入會議。同時,會議主持人還能將不速之客踢出會議,放進等候室。我們建議用戶都開啟這項功能。

7. 關注螢幕共享功能

所有常規視頻會議程式都提供螢幕共享功能,即參會者能夠將自己的設備螢幕內容展示給其他人。Zoom也不例外,不過我們還是列出了一些值得關注的具體設置內容。

  1. 會議發起者可以選擇限制該功能,僅自己擁有這一權限,也可以讓所有參會者都開啟該功能。如果會議中不需要他人分享螢幕,就可以按需關閉該功能。
  2. 另一項設置允許多個與會者同時共享他們的螢幕。如果你現在沒有想到會用到這一功能的場景,那麼很有可能你以後也都不會用到,但還是記住有這麼一個功能,萬一以後有需要也可以立刻啟用它。

8. 堅持使用Web客戶端

Zoom各個版本的客戶端程式各自呈現了不同的漏洞。有的版本能讓入侵者獲取設備的相機和麥克風權限,另一些則允許網站在未經用戶同意的情況下將用戶添加到通話中。Zoom很快修復了上述問題以及其他類似的漏洞,並停止與Facebook、Linke4In分享用戶數據。然而,由於缺乏恰當的安全評估,Zoom可能仍存在漏洞,同時持續與第三方共享數據等有爭議的做法。

出於以上原因,我們建議用戶盡量不要在設備上安裝Zoom應用程式,而是通過其Web界面使用服務。Web版本會在瀏覽器沙盒中運行,它所獲取的權限比安裝程式少,從而限制了其可能造成的潛在危害。

然而在某些情況下,即便用戶嘗試使用Web界面,Zoom也會直接進入下載界面,要求安裝客戶端。如果遇到這種情況,用戶最好盡量只在一台設備上安裝Zoom客戶端,可以裝在備用手機或是閒置的筆記本上,選擇的設備上個人訊息越少越好。雖然這麼做是會有一些麻煩,但還是安全更加重要。

順便提一句,如果你的公司在使用Skype企業版(以前的Lync),它是可以適配Zoom的,也可以用來接入Zoom的視頻會議,還無需擔心上述的缺陷。

9. 不要相信Zoom廣告中所說的端對端加密

除了價格優勢和功能設置之外,Zoom吹捧的產品端對端加密功能也是它獲得大量用戶的主要原因。在端對端加密通話中,你和聯繫人之間的所有通訊都經過加密,只有你和對方能夠解密獲取訊息,其他任何人,包括服務供應商都無法知道你們的通信內容。

這個功能聽起來是很棒,但安全研究人員已經指出,它幾乎不可能實現。Zoom也不得不承認,它所說的端點其實指的是Zoom服務器,也就是說視頻的確經過加密,然而Zoom員工以及潛在的執法機構都擁有權限查看視頻,不過聊天的文本似乎是真的端到端加密。不過用戶倒也不必為此就徹底放棄Zoom,畢竟其他主流視頻會議服務也普遍缺乏端對端加密。但你應該記住,避免在Zoom上討論個人隱私或商業機密。

10. 考慮一下人們能夠看見的畫面和聽見的聲音

無論你使用的是Zoom還是其他服務,每當有視頻會議時都應該注意這一點。在你接通視頻之前,花一分鐘環顧四周,想一想當你加入會議之後,其他人將看見的畫面和聽見的聲音。即便你獨自在家,對方也可能希望你穿戴整齊。

當你需要共享自己的電腦螢幕時,也是如此。關閉所有不想讓他人看見的窗口,不然就有可能會暴露為他人準備的驚喜禮物或是被老闆發現你在找下家。更多的尷尬情況就留給讀者自行想像吧。

享受Zoom

自我隔離是很無聊,讓人感到寂寞。但換個角度來看,你根本無法想像在寬帶網路、視頻會議及多人遠程工作的技術實現以前該怎麼度過隔離時期。因此,我們要感謝所有像Zoom這樣的軟體,更何況你現在已經掌握了它的正確使用方式。

資料來源: https://www.kaspersky.com/blog/zoom-security-ten-tips/34729/

發佈日期:2020-05-14