欢迎光临新世界棋牌

Zoom 启示录:科技产品何时才能把用户隐私放在第一位?

数据线缆 2020-06-30 09:305745新世界棋牌游戏

美国时间 7 月 8 日,安全研究员 Jonathan Leitschuh 新世界棋牌游戏公开披露了视频会议服务商 Zoom 一个严重的零日漏洞——恶意网站未经用户同意可远程激活摄像头,让这家三个月前刚在纳斯达克上市的明星独角兽蒙上阴影。

据 Buzzfeed News 报道,Leitschuh 将这个漏洞遭攻击的可能性定为 8.5 分,而 Zoom 给出的分数是 3.1。目前还不清楚这种漏洞本身是否造成了问题,但 Zoom 对用户隐私的态度似乎更令人担忧。Leitschuh 早在 3 月底就向 Zoom 反馈了这个漏洞,但相关补丁却是在他公开披露后才给出的。

Zoom 的辩解

Leitschuh 发现,用户只要在 Mac 电脑上安装了 Zoom 客户端,就会让应用内的 Web 服务器持续在后台运行。Zoom 这样做的原因是想让用户可以在任何场景下「一键进入视频会议」。用户只要点击类似 https://zoom.us/j/xxxx 的邀请链接,就会自动跳转到客户端,并启动摄像头。即便用户卸载了 Zoom 客户端,Web 服务器仍会保留在本地,一旦用户点击了会议邀请链接,客户端无需用户同意也能自动重安装。

快速开始在线会议 | Slack

「我们认为这是解决不佳用户体验的合理解决方案,它让用户能够更快地一键加入会议。我们并不是唯一使用这种解决方案的视频会议提供商。」Zoom 声明称。自 Safari 1新世界棋牌2 版本开始,Zoom 用户收到会议呼叫需要点击「确认」才能进行。显然,在 Zoom 看来,这多出来的一步削弱了接入会议的无缝体验。Zoom 也未在使用说明或产品文档披露过这个隐藏动作。

「任何网站都可以在没有获得用户许可的情况下,激活摄像头,将用户强行加入到 Zoom 通话中」,Leitschuh 指出,他早在今年 3 月底就将漏洞提交给 Zoom,但对方并没有及时作出进一步的动作。当时,Zoom 正处于 IPO 的筹备期。美国时间 4 月 18 日,也就是 Zoom 上市的第一天,公司市值涨到了 159 亿美元。

Zoom 上市 | 视觉中国

Copyright © 2020 新世界棋牌 版权所有