自从 Covid-19 爆发以来,许多以前是面对面的活动已迁移到网上。从儿童在家上学到大规模居家工作,乃至与朋友和家人联络,我们越来越依赖互联网来保持联系,而且这种趋势似乎将继续下去。
视频会议一直是其中的核心。2020 年 4 月,Zoom 宣布其每天的会议参与人数已达到 3 亿,而 2019 年 12 月仅为每日 1 千万,短短 4 个月内增长了 30 倍。疫情使 Zoom 应用成为近几个月来下载量最大的应用之一。学生、教师、家庭成员、企业和各种规模的社区团体都在使用视频会议来执行任务和活动 — 知名用户也是如此,例如美国前联邦储备委员会主席 Alan Greenspan 和英国首相 Boris Johnson。但视频聊天服务的安全性如何,如何才能保持安全?
下面,我们将探讨与视频会议安全性有关的关键问题,以及如何确保视频通话安全。
在线视频通话和视频会议的安全性如何?
考虑到黑客攻击的可能性,美国政府将远程工作的趋势视为国家安全问题。美国国家安全局最近发布了对 13 种最流行的视频聊天工具的评估。
部分评分标准包括:
- 服务是否使用端到端加密(可限制其他人监视或窃听通话)?
- 是否使用多因素身份验证(一个可以安全锁定用户帐户的选项)?
- 技术是否基于可公开检查的开源代码(开源代码被认为比不可测知的专有软件更安全)?
- 工具是否与第三方或附属机构共享数据?
- 用户能否根据需要安全地从服务及其存储库中删除数据(在客户端和服务器端均删除)?
您可以在此处阅读完整报告,但实际上,NSA 的结论是每个视频聊天服务都至少存在一个安全缺陷。例如:
- Google G Suite 和 Microsoft Teams 没有端到端加密,并且不使用开源代码
- Cisco WebEx、Zoom、Slack 和 Skype for Business 的数据删除政策有待优化
- GoToMeeting 没有多因素身份验证选项
NSA 给 Facebook 的 WhatsApp、Signal(WhatsApp 使用了其代码)和聊天应用 Wickr 打了最高分。尽管 NSA 的报告不具有结论性,但它有效概述了与视频会议安全性相关的关键问题,并强调了一个事实,即在确保安全性方面,目前市场上没有任何产品能面面俱到。
常见的在线视频安全问题
常见的视频会议安全问题包括:
是否使用端到端加密?
即可以确保通信安全的加密视频会议,只有相关用户可以看到,而任何其他人甚至应用本身都看不到。要进一步了解数据加密及其工作原理,请阅读我们的“什么是数据加密”文章。
视频通话能否被第三方拦截和录制?
其他人能否监视通话并进行录制?谁可以加入通话,他们如何加入?随着学校将在线课程迁移到 Zoom,侵犯隐私的行为可能引发对儿童保护的担忧。Zoom 会议可以通过一个基于数字的短 URL 访问,这很容易被黑客生成和猜到。
您的帐户数据被如何使用?
在多大程度上遵守了欧洲的《通用数据保护法规》或加州的《消费者隐私法案》等隐私框架。在收集哪些数据以及哪些第三方可以访问这些数据方面,应用对其用户的透明度如何?
与视频应用相关的数据存储在计算机或手机上的什么位置?
如果您要处理敏感信息和文件,这一点尤为重要。
例如:
- 在 Skype 中,收到的照片将保存到设备中,除非更改此设置。(转到 Android 或 iOS 的“设置”中的“消息传递”来配置该选项。)
- 在 Zoom 中,如果下载与视频通话同时进行的聊天记录,它还将包括通话参与者之间的所有一对一私密聊天。这对于工作通话可能是一个问题,因为您可能不希望任何其他人看到您的私人对话。
是否有应用内监控措施?
例如,Zoom 因其“注意力跟踪”功能而受到批评,该功能允许会议主持人查看某个用户是否离开 Zoom 窗口 30 秒或更长时间。此功能可以让雇主检查员工是否确实在参与工作会议,或者学生是否确实在远程观看课堂演示。
是否有可能无意中下载恶意软件而导致黑客攻击?
例如,用户是否会在不知不觉中下载可获取相机和麦克风权限的应用?该应用/恶意软件可能会将个人信息提供给黑客,进而被其泄露。
特别是 Zoom:过去已报告多个 Zoom 安全漏洞。例如,在 2019 年,Zoom 被发现在用户设备上安装了隐藏的 Web 服务器,该服务器可在未经许可的情况下将用户添加到通话中。另一个漏洞使黑客能够接管 Zoom 用户的 Mac,包括接入网络摄像头和入侵麦克风。作为回应,Zoom 已努力解决安全问题,并在其公司博客上提供定期更新。
在线视频黑客示例
最近讨论最多的一个视频劫持示例是“Zoom 炸弹”。黑客进入聊天室高喊种族歧视语言或暴力威胁。虽然“Zoom 炸弹”一词来源于 Zoom 应用,但类似事件也发生在其他视频会议平台上,包括 WebEx 和 Skype。2020 年 3 月 30 日,FBI 宣布正在调查不断增多的视频劫持案件。
在 Reddit 或 Discord 等论坛中,出现过试图破坏 Zoom 会议的联合攻击。在 Twitter 上,多个帐户发布了视频会议的密码,这些会议很容易在未经允许的情况下加入。在一些教育机构,一些学生将视频劫持升级成扰乱在线课堂的方法。
遭到入侵的 Zoom 会议 — 未经邀请的用户出现,通过宣扬淫秽、种族主义或反犹太主义言论将会议劫持,迫使主持人关闭会议 — 然后被黑客在 TikTok 和 YouTube 等视频分享平台上分享。
过去,通过 Google 简单地搜索包含“Zoom.us”的 URL 就可能搜到没有密码保护的会议,这使得黑客无需收到邀请就可以轻而易举地加入。
虽然被劫持的会议对参与者造成干扰和困扰,但更令人担忧的潜在威胁是潜伏在会议中的入侵者,他们不表露自己的存在,这给公司安全和个人隐私带来了严重风险。
《福布斯》最近报道,一名黑客出售超过 50 万个被盗的 Zoom 凭据,其中包括个人会议 URL 和 Zoom 主持人密钥。这些凭据中的很大一部分很可能是黑客从其他地方获得的重复使用的密码。
作为回应,Zoom 发出声明:
“我们已经聘请多家情报公司寻找这些密码转储和用于制造它们的工具,以及一家已关闭数千家网站的公司,这些网站试图欺骗用户下载恶意软件或提供凭据。我们将继续调查,锁定发现被入侵的帐户,要求用户将密码为更安全的密码,并考虑研究实施其他技术解决方案来支持我们的努力。”
如何保护 Zoom 通话
虽然 Skype 广为人知并且已经出现一段时间,并且人们习惯于使用 FaceTime 与朋友进行视频通话,但自 Covid-19 危机开始以来,最受欢迎的视频会议应用是 Zoom。
用户数量的迅速增长,进一步增加了外界对 Zoom 不够重视用户视频会议安全性的批评。事实上,Zoom 并不像一些用户之前所认为的那样具有端到端加密功能,这引起了人们的担忧。Zoom 已在一篇博客文章和一个视频中发布了锁定会议的指南,但仍然给用户增加了自我保护的负担。
7 个有助于保护 Zoom 通话的提示
- 通过使用密码和要求身份验证来锁定会议室。这样只有符合您要求的人可以进行通话。移除不受欢迎或具有破坏性的参与者。
- 锁定屏幕共享。这样只有符合您要求的人可以分享他们的屏幕。
- 点击链接和打开发送给您的文档时要小心。通过其他通信渠道验证发件人是否确实向您发送了链接或文件。
- 注意背景显示的内容。例如,如果您不希望任何个人物品或您孩子的照片被别人看到,请将它们移出画面。Zoom 还提供了更改身后背景的机会。(其他会议应用(例如 Skype)提供了使背景变模糊的选项。)
- 使用屏幕共享功能之前,请小心屏幕上的内容。例如,可能已打开的任何其他选项卡或私密聊天窗口,或任何可能显示敏感财务或个人信息的文档。注意不要意外展示出带有您地址的邮件,或者不小心给身份证、信用卡或任何其他您不希望陌生人看到的东西一个特写。
- 检查设置。有些安全设置在默认情况下未启用。Zoom 的桌面版和移动版有不同的设置,桌面版的设置比手机版更详细,提供更多控制。例如,主持人有更多管理工具,而用户只能在桌面版管理被阻止的帐户。
- 关注有关应用更新的消息。保持最新可以使您更好地了解可用的各种隐私和安全功能。
如何确保视频聊天不受黑客攻击
如何保护每个视频聊天的具体操作因平台而异,因此熟悉所选平台的详细信息很重要。也就是说,无论使用哪种视频聊天应用,许多大原则是相同的。
以下是一些在线视频聊天安全性的关键提示:
注意您分享的内容
对您在线分享的内容保持警惕,包括您在视频通话中的言行。由于存在其他人获得通话录音或者未事先通知就参加会议的风险,请小心您透露的内容。除非绝对必要,否则请保留个人信息。
小心您将邀请链接分享给的人
不要在公开的社交媒体帖子、群组电子邮件、在线个人资料或任何可能被其他人看到的地方宣传。从会议软件内邀请参与者,并告诉他们不要分享链接。
设置会议转发警报
设立警报,当会议邀请通过电子邮件转发给其他人时,您会收到通知。这样,您可以检查其他受邀者是否合法,如果不合法,则对邀请转发提出质疑。如有必要,安排具有新登录详细信息的新会议。
选择强密码
大多数视频通话应用允许您使用密码保护通话。选择一个强密码,而不是一个容易猜到的密码。对不同的应用和服务使用不同的强密码。
在视频会议工具中选择端到端加密
这样可以确保没有其他人可以访问您的通信。支持端到端加密的领先视频应用包括:
- Google Duo
- Apple 的 FaceTime
- Cisco 的 WebEx
- GoToMeeting
- Signal
保持软件最新
定期更新应用。当出现安全漏洞和隐私漏洞时,它们通常会出现在较旧的、过时版本的应用中。更新通常包括将修复问题和漏洞的错误修复和安全补丁。保持视频会议应用更新是防范黑客的最佳方法之一,因为当公司发布补丁以修复安全漏洞时,会通过更新来实施。这是一项安全预防措施,您应该全面采用,而不仅仅针对视频聊天和视频会议应用。在所有主要平台上,保持应用和设备更新很简单。在大多数情况下,除了确认更新外,您无需执行任何操作。仔细检查会议参与者是否正在使用最新版本。
所有参与者都加入后立即锁定会议
但是,如果某个有效参与者掉线,一定要解锁会议,让他们重新加入,之后再重新锁定。
使用视频会议软件中的等候室功能
此类功能在会议开始前将参与者放在一个单独的虚拟房间中,并允许主持人只准许应该在该房间中的人。会议主席或主持人应控制准入。邀请每个与会者在通话开始时讲话,以识别任何未知的与会者。
了解规则
在使用任何视频软件之前,都需要了解它的来龙去脉,因此请进行研究。花点时间浏览所有设置,检查您的用户配置文件,以及您可以访问的所有其他内容,看看是否需要进行更改。如果有什么事情让您感到困惑,并且您不确定该怎么做,请做一个笔记并在稍后查找,看是否需要采取任何措施。
启用额外的隐私功能
亲自进行视频聊天设置总是值得的,这样可查看是否可以启用额外的隐私功能。
例如:
- 在 Skype 上,可以选择其他用户是否可以通过电话号码或电子邮件地址找到您。
- 在 FaceTime 上,可以控制其他人是否可以通过电话号码或电子邮件地址找到您。如果您不希望让失联很久的同学或远方亲戚联系您,关闭此选项会有所帮助。
- 在 Google Duo 上,有一个 Knock Knock 功能,当您呼叫联系人时,在他们接听之前会向他们显示您的视频画面。如果您不喜欢此功能,请点击 Duo 应用主界面右上角的三个点,然后点击“设置”和“Knock Knock”将其关闭。
始终从官方应用商店下载应用
了解如何识别假应用。检查评分和用户评论,并提防未授权网站上的应用。
只与您真正认识的人聊天
在与视频会议中的人分享任何私密内容之前,确保他们是可信任的。不要接受非朋友的聊天请求或呼叫。不要应答来自未知呼叫者的呼叫。
设置多因素身份验证
它使黑客更难获得个人设备或在线帐户的访问权限,因为仅知道受害者的密码是不够的,还需要一个额外的 PIN 码。
当您不在通话中时,确保应用未运行
各公司只要可能就会监视您,因此不要让他们得逞。不使用网络摄像头时将其遮住,并确保在使用完毕后完全关闭应用/程序。
防止录制会议
阻止除主席或主持人以外的任何与会者录制会议,或设置警报以识别哪名与会者已开始录制。
关闭任何给予应用太多权限的功能
例如,任何可能允许第三方信息共享的功能,以及任何声称通过向广告商或合作伙伴提供数据访问权限来改善体验的功能。关闭允许陌生人找到您、加好友、加入您的小组或房间或者给您发消息的设置。关闭任何人对您进行录制的功能。对所有内容都使用密码。
如果不需要,不要在通话中使用视频
关闭网络摄像头并通过音频收听,可以防止通过背景物品了解您的更多信息。纯音频还可以节省互联网连接的网络带宽,提高会议的整体音频和可视化质量。
如果要进行大型通话,请考虑使用网络直播而不是视频会议功能
网络直播是指在线进行的会议或演示。参与者可以观看演示,并向演讲者提问或与其他参与者交流。网络直播仅将控制权授予主持人和选定的演示者,有助于更好地控制大型会议。
使用公共 Wi-Fi 网络时要小心
免费 Wi-Fi 热点的特质不仅吸引着消费者,同样也吸引着黑客;换言之,它无需任何身份验证,就能建立网络连接。这就为黑客在同一网络中自由访问未受安全保护的设备创造了机会。使用时要注意防范。
不要把手机交给不信任的人
能对您的手机进行物理访问的人可以轻易安装黑客应用并造成麻烦。
记住:黑客和网络罪犯是机会主义者。因此,视频会议的使用增多意味着它已成为目标。随着视频通话技术的发展,主要厂商需要持续努力以确保用户安全。
同时,您可以通过卡巴斯基的反病毒保护来确保安全,它可以保护您的 PC 和 Android 设备免受病毒侵害,保护和存储您的密码和私人文件,并通过 VPN 对您在线收发的数据进行加密。
相关文章: