自从 Covid-19 爆发以来,许多以前是面对面的活动已迁移到网上。从儿童在家上学到大规模居家工作,乃至与朋友和家人联络,我们越来越依赖互联网来保持联系,而且这种趋势似乎将继续下去。
视频会议一直是其中的核心。2020 年 4 月,Zoom 宣布其每天的会议参与人数已达到 3 亿,而 2019 年 12 月仅为每日 1 千万,短短 4 个月内增长了 30 倍。疫情使 Zoom 应用成为近几个月来下载量最大的应用之一。学生、教师、家庭成员、企业和各种规模的社区团体都在使用视频会议来执行任务和活动 — 知名用户也是如此,例如美国前联邦储备委员会主席 Alan Greenspan 和英国首相 Boris Johnson。但视频聊天服务的安全性如何,如何才能保持安全?
下面,我们将探讨与视频会议安全性有关的关键问题,以及如何确保视频通话安全。
考虑到黑客攻击的可能性,美国政府将远程工作的趋势视为国家安全问题。美国国家安全局最近发布了对 13 种最流行的视频聊天工具的评估。
部分评分标准包括:
您可以在此处阅读完整报告,但实际上,NSA 的结论是每个视频聊天服务都至少存在一个安全缺陷。例如:
NSA 给 Facebook 的 WhatsApp、Signal(WhatsApp 使用了其代码)和聊天应用 Wickr 打了最高分。尽管 NSA 的报告不具有结论性,但它有效概述了与视频会议安全性相关的关键问题,并强调了一个事实,即在确保安全性方面,目前市场上没有任何产品能面面俱到。
常见的视频会议安全问题包括:
即可以确保通信安全的加密视频会议,只有相关用户可以看到,而任何其他人甚至应用本身都看不到。要进一步了解数据加密及其工作原理,请阅读我们的“什么是数据加密”文章。
其他人能否监视通话并进行录制?谁可以加入通话,他们如何加入?随着学校将在线课程迁移到 Zoom,侵犯隐私的行为可能引发对儿童保护的担忧。Zoom 会议可以通过一个基于数字的短 URL 访问,这很容易被黑客生成和猜到。
在多大程度上遵守了欧洲的《通用数据保护法规》或加州的《消费者隐私法案》等隐私框架。在收集哪些数据以及哪些第三方可以访问这些数据方面,应用对其用户的透明度如何?
如果您要处理敏感信息和文件,这一点尤为重要。
例如:
例如,Zoom 因其“注意力跟踪”功能而受到批评,该功能允许会议主持人查看某个用户是否离开 Zoom 窗口 30 秒或更长时间。此功能可以让雇主检查员工是否确实在参与工作会议,或者学生是否确实在远程观看课堂演示。
例如,用户是否会在不知不觉中下载可获取相机和麦克风权限的应用?该应用/恶意软件可能会将个人信息提供给黑客,进而被其泄露。
特别是 Zoom:过去已报告多个 Zoom 安全漏洞。例如,在 2019 年,Zoom 被发现在用户设备上安装了隐藏的 Web 服务器,该服务器可在未经许可的情况下将用户添加到通话中。另一个漏洞使黑客能够接管 Zoom 用户的 Mac,包括接入网络摄像头和入侵麦克风。作为回应,Zoom 已努力解决安全问题,并在其公司博客上提供定期更新。
最近讨论最多的一个视频劫持示例是“Zoom 炸弹”。黑客进入聊天室高喊种族歧视语言或暴力威胁。虽然“Zoom 炸弹”一词来源于 Zoom 应用,但类似事件也发生在其他视频会议平台上,包括 WebEx 和 Skype。2020 年 3 月 30 日,FBI 宣布正在调查不断增多的视频劫持案件。
在 Reddit 或 Discord 等论坛中,出现过试图破坏 Zoom 会议的联合攻击。在 Twitter 上,多个帐户发布了视频会议的密码,这些会议很容易在未经允许的情况下加入。在一些教育机构,一些学生将视频劫持升级成扰乱在线课堂的方法。
遭到入侵的 Zoom 会议 — 未经邀请的用户出现,通过宣扬淫秽、种族主义或反犹太主义言论将会议劫持,迫使主持人关闭会议 — 然后被黑客在 TikTok 和 YouTube 等视频分享平台上分享。
过去,通过 Google 简单地搜索包含“Zoom.us”的 URL 就可能搜到没有密码保护的会议,这使得黑客无需收到邀请就可以轻而易举地加入。
虽然被劫持的会议对参与者造成干扰和困扰,但更令人担忧的潜在威胁是潜伏在会议中的入侵者,他们不表露自己的存在,这给公司安全和个人隐私带来了严重风险。
《福布斯》最近报道,一名黑客出售超过 50 万个被盗的 Zoom 凭据,其中包括个人会议 URL 和 Zoom 主持人密钥。这些凭据中的很大一部分很可能是黑客从其他地方获得的重复使用的密码。
作为回应,Zoom 发出声明:
“我们已经聘请多家情报公司寻找这些密码转储和用于制造它们的工具,以及一家已关闭数千家网站的公司,这些网站试图欺骗用户下载恶意软件或提供凭据。我们将继续调查,锁定发现被入侵的帐户,要求用户将密码为更安全的密码,并考虑研究实施其他技术解决方案来支持我们的努力。”
虽然 Skype 广为人知并且已经出现一段时间,并且人们习惯于使用 FaceTime 与朋友进行视频通话,但自 Covid-19 危机开始以来,最受欢迎的视频会议应用是 Zoom。
用户数量的迅速增长,进一步增加了外界对 Zoom 不够重视用户视频会议安全性的批评。事实上,Zoom 并不像一些用户之前所认为的那样具有端到端加密功能,这引起了人们的担忧。Zoom 已在一篇博客文章和一个视频中发布了锁定会议的指南,但仍然给用户增加了自我保护的负担。
如何保护每个视频聊天的具体操作因平台而异,因此熟悉所选平台的详细信息很重要。也就是说,无论使用哪种视频聊天应用,许多大原则是相同的。
以下是一些在线视频聊天安全性的关键提示:
对您在线分享的内容保持警惕,包括您在视频通话中的言行。由于存在其他人获得通话录音或者未事先通知就参加会议的风险,请小心您透露的内容。除非绝对必要,否则请保留个人信息。
不要在公开的社交媒体帖子、群组电子邮件、在线个人资料或任何可能被其他人看到的地方宣传。从会议软件内邀请参与者,并告诉他们不要分享链接。
设立警报,当会议邀请通过电子邮件转发给其他人时,您会收到通知。这样,您可以检查其他受邀者是否合法,如果不合法,则对邀请转发提出质疑。如有必要,安排具有新登录详细信息的新会议。
大多数视频通话应用允许您使用密码保护通话。选择一个强密码,而不是一个容易猜到的密码。对不同的应用和服务使用不同的强密码。
这样可以确保没有其他人可以访问您的通信。支持端到端加密的领先视频应用包括:
定期更新应用。当出现安全漏洞和隐私漏洞时,它们通常会出现在较旧的、过时版本的应用中。更新通常包括将修复问题和漏洞的错误修复和安全补丁。保持视频会议应用更新是防范黑客的最佳方法之一,因为当公司发布补丁以修复安全漏洞时,会通过更新来实施。这是一项安全预防措施,您应该全面采用,而不仅仅针对视频聊天和视频会议应用。在所有主要平台上,保持应用和设备更新很简单。在大多数情况下,除了确认更新外,您无需执行任何操作。仔细检查会议参与者是否正在使用最新版本。
但是,如果某个有效参与者掉线,一定要解锁会议,让他们重新加入,之后再重新锁定。
此类功能在会议开始前将参与者放在一个单独的虚拟房间中,并允许主持人只准许应该在该房间中的人。会议主席或主持人应控制准入。邀请每个与会者在通话开始时讲话,以识别任何未知的与会者。
在使用任何视频软件之前,都需要了解它的来龙去脉,因此请进行研究。花点时间浏览所有设置,检查您的用户配置文件,以及您可以访问的所有其他内容,看看是否需要进行更改。如果有什么事情让您感到困惑,并且您不确定该怎么做,请做一个笔记并在稍后查找,看是否需要采取任何措施。
亲自进行视频聊天设置总是值得的,这样可查看是否可以启用额外的隐私功能。
例如:
了解如何识别假应用。检查评分和用户评论,并提防未授权网站上的应用。
在与视频会议中的人分享任何私密内容之前,确保他们是可信任的。不要接受非朋友的聊天请求或呼叫。不要应答来自未知呼叫者的呼叫。
它使黑客更难获得个人设备或在线帐户的访问权限,因为仅知道受害者的密码是不够的,还需要一个额外的 PIN 码。
各公司只要可能就会监视您,因此不要让他们得逞。不使用网络摄像头时将其遮住,并确保在使用完毕后完全关闭应用/程序。
阻止除主席或主持人以外的任何与会者录制会议,或设置警报以识别哪名与会者已开始录制。
例如,任何可能允许第三方信息共享的功能,以及任何声称通过向广告商或合作伙伴提供数据访问权限来改善体验的功能。关闭允许陌生人找到您、加好友、加入您的小组或房间或者给您发消息的设置。关闭任何人对您进行录制的功能。对所有内容都使用密码。
关闭网络摄像头并通过音频收听,可以防止通过背景物品了解您的更多信息。纯音频还可以节省互联网连接的网络带宽,提高会议的整体音频和可视化质量。
网络直播是指在线进行的会议或演示。参与者可以观看演示,并向演讲者提问或与其他参与者交流。网络直播仅将控制权授予主持人和选定的演示者,有助于更好地控制大型会议。
免费 Wi-Fi 热点的特质不仅吸引着消费者,同样也吸引着黑客;换言之,它无需任何身份验证,就能建立网络连接。这就为黑客在同一网络中自由访问未受安全保护的设备创造了机会。使用时要注意防范。
能对您的手机进行物理访问的人可以轻易安装黑客应用并造成麻烦。
记住:黑客和网络罪犯是机会主义者。因此,视频会议的使用增多意味着它已成为目标。随着视频通话技术的发展,主要厂商需要持续努力以确保用户安全。
同时,您可以通过卡巴斯基的反病毒保护来确保安全,它可以保护您的 PC 和 Android 设备免受病毒侵害,保护和存储您的密码和私人文件,并通过 VPN 对您在线收发的数据进行加密。
相关文章: