虚拟会议软件如雨后春笋般涌现,其中最为知名的就是Zoom,不过最近出现了不少漏洞。
美国政府认为远程工作趋势将成为国家安全问题。美国国家安全局最近发布了对13款最流行商业视频聊天工具的评估报告。在该报告所附声明中,国家安全局称:“用户可通过遵守操作指南,降低其风险,而且也能更好地防范恶意攻击者。”
国家安全局将最高评分给了Facebook的WhatsApp、Signal(WhatsApp便使用了其代码)及其竞争对手聊天应用Wickr。其中的一些评分标准包括:该服务是否使用了能够阻止窃听和窥探的端对端加密技术?是否拥有可安全锁定用户账户的多重身份验证技术?该应用采用的技术是基于可公开查验的开源代码(业界认为这类代码比神秘的专属软件更安全)?
在国家安全局眼中,所有其他应用至少都有一项缺陷。谷歌的G Suite和微软的Teams缺乏端对端加密,而且并未使用开源代码。思科的Webex、Zoom、Slack和Skype for Business的数据删除政策均有不妥之处。GoToMeeting没有提供多重身份验证选项,而手机短信服务则在上述所有方面都不合格。
该报告并没有做到面面俱到。国家安全局并没有对代码漏洞进行评级,也没有对可利用漏洞的受攻击频率进行统计;任何有关Zoom“zero-days”漏洞或微软Teams的GIF攻击都不在该调查的范围之列,它对Facebook的多次隐私泄露也是只字未提。
安全研究员约翰·斯科特·雷尔顿在一篇推文中抱怨说,该报告只是看到了Zoom实施端对端加密宣传的表象,但他自己所做的调查却给出了不同的结论。此外,最令人感到意外的是,该报告完全忽视了苹果的FaceTime这一经常受到安全专家赞赏的应用。
在这场激烈的用户争夺战中,各大科技公司通常会忽略安全措施和必要的审计,这种决策虽然会刺激用户数量的增长,但最终会给用户带来难以估量的伤害。佐治亚州立大学的法学副教授杰弗瑞·威格尔在安全博客Just Secutiry发表的一篇发人深省的文章中指出,各大公司会制定一些以增长而非安全为目的的激励政策,但它们往往会成为这类糟糕政策的牺牲品。
经济学家将其称之为道德危害。(财富中文网)
译者:Feb
虚拟会议软件如雨后春笋般涌现,其中最为知名的就是Zoom,不过最近出现了不少漏洞。
美国政府认为远程工作趋势将成为国家安全问题。美国国家安全局最近发布了对13款最流行商业视频聊天工具的评估报告。在该报告所附声明中,国家安全局称:“用户可通过遵守操作指南,降低其风险,而且也能更好地防范恶意攻击者。”
国家安全局将最高评分给了Facebook的WhatsApp、Signal(WhatsApp便使用了其代码)及其竞争对手聊天应用Wickr。其中的一些评分标准包括:该服务是否使用了能够阻止窃听和窥探的端对端加密技术?是否拥有可安全锁定用户账户的多重身份验证技术?该应用采用的技术是基于可公开查验的开源代码(业界认为这类代码比神秘的专属软件更安全)?
在国家安全局眼中,所有其他应用至少都有一项缺陷。谷歌的G Suite和微软的Teams缺乏端对端加密,而且并未使用开源代码。思科的Webex、Zoom、Slack和Skype for Business的数据删除政策均有不妥之处。GoToMeeting没有提供多重身份验证选项,而手机短信服务则在上述所有方面都不合格。
该报告并没有做到面面俱到。国家安全局并没有对代码漏洞进行评级,也没有对可利用漏洞的受攻击频率进行统计;任何有关Zoom“zero-days”漏洞或微软Teams的GIF攻击都不在该调查的范围之列,它对Facebook的多次隐私泄露也是只字未提。
安全研究员约翰·斯科特·雷尔顿在一篇推文中抱怨说,该报告只是看到了Zoom实施端对端加密宣传的表象,但他自己所做的调查却给出了不同的结论。此外,最令人感到意外的是,该报告完全忽视了苹果的FaceTime这一经常受到安全专家赞赏的应用。
在这场激烈的用户争夺战中,各大科技公司通常会忽略安全措施和必要的审计,这种决策虽然会刺激用户数量的增长,但最终会给用户带来难以估量的伤害。佐治亚州立大学的法学副教授杰弗瑞·威格尔在安全博客Just Secutiry发表的一篇发人深省的文章中指出,各大公司会制定一些以增长而非安全为目的的激励政策,但它们往往会成为这类糟糕政策的牺牲品。
经济学家将其称之为道德危害。(财富中文网)
译者:Feb
Virtual conferencing software—most notably Zoom, despite many recently uncovered vulnerabilities—is surging.
The U.S. government considers the remote-working trend to be a matter of national security. The National Security Agency recently released an assessment of 13 of the most popular commercial video chatting tools. In a statement accompanying the report, it said, "By following the practical guidelines, users can draw down their risk exposure and become harder targets for malicious threat actors."
The NSA's highest marks went to Facebook's WhatsApp, Signal (whose code WhatsApp uses), and rival chat app Wickr. Some of the grading criteria: Does the service use end-to-end encryption, which blocks eavesdroppers and snoops? Does it have multi-factor authentication, an option that securely locks down user accounts? Is the technology based on publicly inspectable, open-source code, which is considered more secure than inscrutable proprietary software?
Every other service has at least one deficiency, in the eyes of the NSA. Google G Suite and Microsoft Teams lack end-to-end encryption and do not use open source code. Cisco Webex, Zoom, Slack, and Skype for Business have suboptimal data deletion policies. GoToMeeting has no multi-factor authentication option. SMS texting fails on pretty much all fronts.
The report isn't comprehensive. The NSA makes no attempt to rate code bugginess, nor the prevalence of exploitable vulnerabilities; any discussion of Zoom "zero-days" or Microsoft Teams GIF attacks are out of scope. Facebook's innumerable privacy breaches garner no mention.
John Scott-Railton, a security researcher, griped in a tweet that the report took Zoom's claims of implementing end-to-end encryption at face value, despite his research indicating otherwise. And perhaps most strangely, the report entirely omits a review of Apple's FaceTime, a service frequently praised by security experts.
In their breakneck quests to attract large followings, tech companies often disregard safety measures and proper audits, a decision that juices growth but ultimately hurts users in incalculable ways. As Jeffrey Vagle, an assistant professor of law at the Georgia State University College of Law, notes in a perspicacious piece for the security blog Just Security, businesses all too often fall prey to bad incentives, optimizing for growth rather than security.
A moral hazard, as economists call it.