云端视讯会议进行时可能被人监听！市值 200 亿美元 ToB 独角兽 Zoom 受挫

保障使用者隐私和资讯安全问题已成为时下焦点话题，对于一家市值超过 200 亿美元的云端视讯新创企业独角兽 Zoom 来说，却在这件事上受挫。

近日，名为“Prying-Eye”的漏洞遭公布，可让入侵者扫描未受保护的视讯会议 ID，并监听企业视讯会议内容。

据多家外媒报导，应用程序安全新创公司 Cequence 的部门 CQ Prime 威胁研究小组发表报告指出，早在今年 7 月就发现这个“Prying-Eye”漏洞。小组认为，由于许多视讯会议不受密码保护，Zoom 和思科旗下的 Webex 可能受到攻击。随后，这两家公司均为系统发布修补程式。

具体来说，攻击者可利用 Prying-Eye 漏洞发起列举攻击（enumeration attack），透过自动检测大众应用程序，辨识数字或字母序列，最直接的做法就是测试 ID，如果会议不受密码或其他身份验证保护，就给攻击者乘虚而入的机会。

研究小组使用旨在扫描和发现 Webex 和 Zoom 视讯会议 ID 的机器人，呼叫系统 API。

对此，CQ Prime 方面表示，当机器人在序列来回查询会议 ID 时，它会确定 ID 是否有效及是否需要密码。攻击者可回复并查看或收听正在进行的会议，甚至还能透过该方法确定接下来使用者创建的会议 ID。

然而，这并不意味攻击者只能看到这些资讯。一旦确定不受保护的会议 ID，攻击者还可以获得该会议房间个人更多资讯，例如姓名、邮件地址等。

值得注意的是，目前尚没有迹象表明漏洞在 Zoom 或 Webex 遭利用。

• 思科提供的解决方案是，修复并发出漏洞错误警告的“询问”。它会建议管理员保留预设配置，预设配置要求在创建会议时使用密码。预设情况下，Webex 在会议设置过程，为不要求密码保护的站点提供随机生成的密码；不过，如果站点允许，使用者也可以使用自己的密码取代随机密码，或是禁用密码保护。
• Zoom 表示已改进服务器保护功能，防止机器人攻击；并正为视讯会议密码设置问题发布新控制程式。这次升级将添加账号、使用者等级等新设置，旨在让账号所有者和管理员对会议密码有更多控制权。在此之前，使用者可要求使用密码安排新会议，设置即时会议和个人会议 ID。
• 9 月 29 日起，对没有 Zoom Room 的账号预设启用新密码设置。11 月 23 日开始，对拥有 Zoom Room 的账号预设启用新的密码设置。

早在今年 7 月，Zoom 就因使用者移除应用程序而无法从 Mac 删除 Web 服务器一事引发热议。尽管 Zoom 解决漏洞，但后来苹果被迫出面干预，以确保所有 Mac 使用者都受到保护。

在中国视讯会议市场，除了本土技术供应商，Zoom、Webex 等基于网络云端视讯会议厂商主要透过代理商进入中国，提供产品支援同时，将完整解决方案的服务和营运交给本土代理商。

毫无疑问，Zoom 是云端视讯领域炙手可热的企业服务公司，于今年 4 月登陆那斯达克，上市首日股价大涨 72%，并一度突破 200 亿美元市值。国际数据公司 International Data 估计，到 2022 年，Zoom 所在的细分市场价值可能高达 431 亿美元。

（Source：Zoom）

创始人兼 CEO 袁征曾先后为 Webex、思科服务近 14 年，Zoom 的创立也直接冲着思科 Webex 而来，适合不同规模的企业使用。公开资料显示，截至 2015 年，Zoom 在全球拥有超过 4,000 万使用者，在中国市场，客户范围更涵盖三一重工集团、农村商业银行等企业。

然而，这段时间，Zoom 在中国市场的开拓却频遭挫折。

9 月，Zoom 用户在众多社群平台表示“Zoom 无法登陆，中国使用者无法使用 Zoom 国际版，无法发起 Zoom 会议”，随后 Zoom 官网承认这消息，并表示工信部通知全面封锁 Zoom 国际版服务器，后期也会持续封锁。

关于被封锁的原因，“极有可能是因为 Zoom 的服务器位于国外，而中国规定在境内从事通讯活动需持有经营许可证，且营运产生的个人资讯和重要数据需要在境内储存。”申万宏源证券分析师施鑫展受采访时表示。

Zoom 在中国市场遭遇“封锁”或许仅是开始，未来使用者将不得不寻找其他替代产品，那么是否为中国云端视讯供应商的新商机？

除了维持原有优势，Zoom 还能怎么做？

从 Zoom 本身市场格局来看，除了维持原有业务优势，势必将以拓展更多应用场景、产品及商业模式创新、加速国际化等方式抢占更多市占率。

如今有许多使用者对新型企业沟通方式的接受程度日渐提高，更多视讯会议供应商也意识到必须挣脱原有“会议”内涵的束缚，尝试寻找基础视讯能力之外，与行业应用深入整合的第二业务，例如双师课堂、远程诊疗、企业协作等新兴场景的拓展。

对 Zoom 而言，接下来在中国市场面临的最大风险势必来自政策导向。在国家政策对资讯安全的要求下，Zoom 等海外企业想进入中国，将迎来愈严格的管控方式，整个中国视讯会议业的格局及走向也会有变化。

（本文由 雷锋网 授权转载；首图来源：Zoom）

延伸阅读：

• 控管网络力道加剧，视讯会议平台 Zoom 遭中国封锁
• 苹果出手强制移除有问题的 Zoom 程式
• 视讯软件 Zoom 被爆能让不相干人等开镜头偷听