WebEx
新冠疫情影响,居家办公需求剧增,线上会议平台的安全性放大。有安全研究人员称,思科视频会议应用WebEx Meetings Windows版存在漏洞,可能让黑客取得验证用的符号、用户名,进而访问视频会议内容及密码。而预设自动登录WebEx将提升信息外泄的风险。思科已经将漏洞修补完成。
有研究人员也示范了他设计的概念验证(POC)攻击程序,如何在WebEx启动会议时读取这些信息,并成功从另一台电脑、不同IP位置上控制受害者的WebEx帐号,不但能看到所有会议、会议密码以及所有获邀的与会者,也能读取/编辑会议及下载会议录像。
思科也在本周发出安全公告并释出最新版本的WebEx Meetings Desktop App for Windows 40.6.0,也呼吁用户尽快升级。思科表示尚未发现有任何使用此漏洞的恶意行为。
Zoom
6月初,线上会议平台Zoom称,全程加密(E2EE)功能仅提供给付费用户,不过近期Zoom表示免费版用户也可以获得这项安全保护,并将于7月启动早期测试。
本月初,Zoom表示,为防止有人拿全程加密功能(E2EE)从事不当用途,侵害用户隐私,此项功能不会包含在免费版本中,因为免费版与会者仅以电子邮件登录,不足以提供身份辨识。但ZoomCEO袁征昨天指出,他们已找到兼顾所有平台上用户隐私及安全的方法,能让他们对全球所有用户,包括免费及付费使用者提供E2EE作为进阶的安全功能,同时防止平台被滥用。
免费版用户只要再输入额外个人信息,像是以短信验证身份用的电话号码,就可以使用E2EE。许多主流平台在用户建立帐号时,也都是用这个方法来避免大量水军帐号的建立,Zoom相信结合风险验证及现有多项工具,包括检举用户的功能,可有效预防与打击滥用的问题。
Zoom除了重申所有用户的视频内容,都可获得GCM模式的AES 256传输层加密,也预告将在7月启动E2EE早期beta版测试。不过袁征再次强调E2EE将限制部分会议功能,像是无法整合传统PSTN或SIP/H.323硬件会议系统。而且主持人每次会议都需额外开启或关闭E2EE。
随着线上会议平台的功能升级,大家都在以强化安全性争取客户。本周思科在Cisco Live上也宣布其安全功能,包括防信息外泄的保留(data loss prevention retention)、合法存储(Legal Hold)和电子探索(eDiscovery)功能,延伸到视频会议平台WebEx Meetings,以保护录像、转录资料等会议内容,协助健康照护等产业符合严格法遵需求。
未经允许不得转载:DOIT » 线上会议APP相关——WebEx和Zoom
国网广汇与蚂蚁链达成合作 “碳矩阵”将落地新能源车场景