全球几乎都在进行社会隔离等措施,在这种情况下,人们快速搜寻各种有效的沟通方式。据报道,Zoom因其易用性和价格优势快速占据了市场,但用户很快发现,Zoom的开发者并没有完全准备好接受这种级别的关注。
全球大量用户的涌入和广泛使用迅速暴露了Zoom的缺陷。尽管该公司快速开展了大量工作,处理了安全研究人员发现的问题,但正如其他所有服务,更新代码无法解决所有的问题,需要用户额外注意的事项依然存在。因此,我们为Zoom用户提供了10条安全和隐私提示,帮助用户更好地使用服务。
1. 保护你的账号
设置Zoom账号和其他平台账号一样,你需要遵循保持账号安全的基本规则。使用独特的强密码并设置双重认证能够更好地保护你的账号,即便账号数据泄漏(目前还未发生这样的事件),也能加大入侵者破解的难度。
不过Zoom还有一个额外需要用户注意的问题。在用户注册后,除了账号和密码之外,还将收到一个个人会议ID,请记得千万不要公开这个ID。由于Zoom提供了”使用个人会议ID创建公开会议”的选项,导致这个ID很容易被泄漏。如果这种情况真的发生了,那么知晓你PMI的人就能加入你主持的任何一场会议。因此,在分享这一信息的时候,请格外小心谨慎。
2. 使用工作邮箱注册Zoom账号
Zoom有一个奇怪小问题(在写这篇文章时,该问题还未被修复),它在默认情况下,会将同一域名的邮箱视为同一家企业的账号,并将联系人详情与同组的成员分享。除非注册邮箱使用的是像@gmail.com或@yahoo.com这种非常普遍的域名,如果用户使用的是类似@yandex.kz(哈萨克斯坦的一家公共邮箱服务)这样的域名,就会出现账号统统被划入小型邮箱服务商域名小组的情况。
因此,在注册Zoom账号时,最好使用你的工作邮箱,让同事看见你的联系详情应该不是什么大问题。如果你没有工作邮箱,那么也可以使用知名的公共域名一次性账号,确保你的个人信息不外露。
3. 不要落入假冒Zoom软件的陷阱
卡巴斯基安全研究员Denis Parinov发现,在今年三月,文件名中包含主流视频会议服务(如Webex、GoToMeeting、Zoom等)的恶意文件数量较上年同期增加了大约两倍。这表示,犯罪分子很有可能正在利用Zoom和其他同类应用的热度,试图将恶意软件伪装成视频会议客户端。
请千万保持警惕,不要落入他们的陷阱!通过Zoom的官方网站zoom.us安全下载Mac和PC的客户端,通过App Store或Google Play下载移动端程序。
4. 不要使用社交媒体分享会议链接
有时你想要进行公共活动,而如今在线会议是唯一的选择,这也是Zoom吸引到更多用户的原因。但即便你所举办的这项活动是完全公开的,也应该避免在社交媒体上分享会议链接。
如果你在阅读这篇文章前,就已经对Zoom有所了解,那么你应该也听说过Zoombombing。这是Techcrunch记者Josh Constine发明的词,描述使用攻击性内容扰乱Zoom会议正常进行的棚子。现在Discord和4Chan上就有一些帖子在谈论他们的下一个攻击目标。
这些喷子到底是从哪里获取有关线上活动的信息呢?没错,就是社交媒体。所以,最好还是避免公开Zoom会议的链接。如果出于某些原因不得不公开,那么记得关闭使用个人会议ID这个选项。
5. 使用密码保护会议
为会议设置密码仍然是避开不速之客的最佳方法。最近,Zoom在默认情况下就会打开密码保护,这一举措一定程度上提升了会议的安全性。不过,记得别把Zoom账号密码和会议密码搞混了。和会议链接一样,会议密码也不应该出现在社交媒体或其他任何公开渠道,不然就白费劲设置密码,也无法阻挡网络喷子的恶意攻击了。
6. 开启等待进入会议
另一项会议控制的设置叫做会议等候室,近期也被设定为默认开启的状态。这一功能让所有会议参与者进入”等候室”,直到主持人通过后方可加入会议。这就给了会议发起人更多的权限,即便有人通过其他途径获取了会议密码,也必须通过主持人才能进入会议。同时,会议主持人还能将不速之客踢出会议,放进等候室。我们建议用户都开启这项功能。
7. 关注屏幕共享功能
所有常规视频会议程序都提供屏幕共享功能,即参会者能够将自己的设备屏幕内容展示给其他人。Zoom也不例外,不过我们还是列出了一些值得关注的具体设置内容。
- 会议发起者可以选择限制该功能,仅自己拥有这一权限,也可以让所有参会者都开启该功能。如果会议中不需要他人分享屏幕,就可以按需关闭该功能。
- 另一项设置允许多个与会者同时共享他们的屏幕。如果你现在没有想到会用到这一功能的场景,那么很有可能你以后也都不会用到,但还是记住有这么一个功能,万一以后有需要也可以立刻启用它。
8. 坚持使用Web客户端
Zoom各个版本的客户端程序各自呈现了不同的漏洞。有的版本能让入侵者获取设备的相机和麦克风权限,另一些则允许网站在未经用户同意的情况下将用户添加到通话中。Zoom很快修复了上述问题以及其他类似的漏洞,并停止与Facebook、LinkedIn分享用户数据。然而,由于缺乏恰当的安全评估,Zoom可能仍存在漏洞,同时持续与第三方共享数据等有争议的做法。
出于以上原因,我们建议用户尽量不要在设备上安装Zoom应用程序,而是通过其Web界面使用服务。Web版本会在浏览器沙盒中运行,它所获取的权限比安装程序少,从而限制了其可能造成的潜在危害。
然而在某些情况下,即便用户尝试使用Web界面,Zoom也会直接进入下载界面,要求安装客户端。如果遇到这种情况,用户最好尽量只在一台设备上安装Zoom客户端,可以装在备用手机或是闲置的笔记本上,选择的设备上个人信息越少越好。虽然这么做是会有一些麻烦,但还是安全更加重要。
顺便提一句,如果你的公司在使用Skype企业版(以前的Lync),它是可以适配Zoom的,也可以用来接入Zoom的视频会议,还无需担心上述的缺陷。
9. 不要相信Zoom广告中所说的端对端加密
除了价格优势和功能设置之外,Zoom吹捧的产品端对端加密功能也是它获得大量用户的主要原因。在端对端加密通话中,你和联系人之间的所有通讯都经过加密,只有你和对方能够解密获取信息,其他任何人,包括服务供应商都无法知道你们的通信内容。
这个功能听起来是很棒,但安全研究人员已经指出,它几乎不可能实现。Zoom也不得不承认,它所说的端点其实指的是Zoom服务器,也就是说视频的确经过加密,然而Zoom员工以及潜在的执法机构都拥有权限查看视频,不过聊天的文本似乎是真的端到端加密。不过用户倒也不必为此就彻底放弃Zoom,毕竟其他主流视频会议服务也普遍缺乏端对端加密。但你应该记住,避免在Zoom上讨论个人隐私或商业机密。
10. 考虑一下人们能够看见的画面和听见的声音
无论你使用的是Zoom还是其他服务,每当有视频会议时都应该注意这一点。在你接通视频之前,花一分钟环顾四周,想一想当你加入会议之后,其他人将看见的画面和听见的声音。即便你独自在家,对方也可能希望你穿戴整齐。
当你需要共享自己的电脑屏幕时,也是如此。关闭所有不想让他人看见的窗口,不然就有可能会暴露为他人准备的惊喜礼物或是被老板发现你在找下家。更多的尴尬情况就留给读者自行想象吧。
享受Zoom
自我隔离是很无聊,让人感到寂寞。但换个角度来看,你根本无法想象在宽带网络、视频会议及多人远程工作的技术实现以前该怎么度过隔离时期。因此,我们要感谢所有像Zoom这样的软件,更何况你现在已经掌握了它的正确使用方式。