文/白交魚羊

　　來源：量子位（ID:QbitAI）

　　客戶花錢找黑客，幫你產品找 Bug……

　　這樣的客戶哪里找？這樣的產品又究竟有怎樣的福報？

　　Zoom，疫情之下最火爆的視頻會議公司，又上演了電影一樣的商業劇情。

　　繼沒實現端到端加密、北美的視頻通話繞道中國、一分錢能買 71 個 Zoom 賬號之后……

　　風口浪尖上的 Zoom，又被其客戶 Dropbox 的前工程師曝出：客戶早就對 Zoom 的安全性感到瑟瑟發抖。

　　據紐約時報報道，Zoom 的客戶之一——Dropbox 在 2018 年就開始付錢給頂級黑客，讓他們幫忙找出 Zoom 的漏洞。

　　結果，不僅安全漏洞的數量和嚴重程度令人感到震驚，在他們將漏洞報給 Zoom 后，Zoom 的修復速度也令人頭大。

　　比如，黑客在去年發現了 Zoom 的一個漏洞：通過 Zoom，攻擊者能夠獲取蘋果 macOS 用戶的計算機控制權。

　　而 Zoom 花費了整整三個月的時間，在又有其他黑客發現了這一漏洞后，才終于完成了修復……

　　真魔幻啊。掏錢換掉不香嗎？

　　來自合作伙伴的 push

　　Dropbox 和 Zoom 自 2018 年起就達成了合作關系。

　　隨后，Dropbox 將自身功能跟 Zoom 進行了整合。

　　不過，Dropbox 還是留了個心眼。出于對視頻會議系統漏洞危及自身企業安全的考量，Dropbox 決定自行監控 Zoom 的安全漏洞。

　　別人家付費找黑客來 debug，找的都是自家的 bug。

　　而 Dropbox 的漏洞賞金計劃，卻是讓黑客給 Zoom 找漏洞。

　　對此，Dropbox 是這樣解釋的：

　　在 2018 年，我們試行了一個計劃，將戰略合作伙伴和供應商納入我們的漏洞賞金計劃。在此計劃下，Dropbox 會向發現合作伙伴平臺中漏洞的安全研究人員提供獎勵。

　　結果嘛，大概也無需多言。反正，連 Dropbox 自己的工程師都開始下場給 Zoom 抓蟲，并加裝了控件來控制 Zoom 帶來的風險。

　　據紐約時報報道，Dropbox 的年度黑客競賽上，他們搞了一個山寨版 Zoom——Vroom， 要求研發人員對其進行破解。而這樣做的目的，是教育自家工程師們不要像 Zoom 那樣犯安全錯誤。

　　替別人 Debug，最終目的當然不止于找出漏洞。

　　Dropbox 把這些 bug 都報給了 Zoom，并催著 Zoom 進行修復。

　　Dropbox 前安全主管 Chris Evans 就表示，Dropbox 這樣的早期介入明顯幫到了 Zoom，否則 Zoom 爆火之后，漏洞問題恐怕會帶來更多麻煩。

　　只不過，Zoom 此前修復漏洞的速度并不總是讓人滿意。比如前文提到的針對 MacOS 的深層攻擊，Zoom 花了三個月的時間才解決。

　　甚至，向紐約時報爆料的前 Dropbox 工程師認為，正是因為未能徹底改革其安全業務，Zoom 才陷入了如今的困境。

　　對此，Zoom 創始人兼 CEO 袁征曾在 2019 年 7 月發布公告，就未能及時回應漏洞問題道歉：

　　在過去 90 天的研究中，我們錯誤地判斷了形勢，反應不夠迅速，責任在我們。

　　不過道歉歸道歉，要是當時就完全改好了，也不會在疫情之下被錘爆。

　　疫情爆紅之下的 Zoom

　　短短幾個月內，Zoom 以一個只服務于公司業務的工作會議工具迅速轉變為全球第一的視頻軟件。

　　前幾天，BondCapital 合伙人、“互聯網女皇”Mary Meeker 發布了最新一期的《互聯網趨勢報告》。其中就提到，以 Zoom 為代表的科技公司成為 2020 年疫情風口上的寵兒。

　　用戶數暴增 20 倍，股價也一路狂飆，截至 4 月 20 日收盤，Zoom 股價為 148.99 美元。

　　雖然用戶數與股價齊飛，但各種問題也是接踵而至。

　　Zoombombing、與 Facebook 共享數據、缺乏端到端加密，服務器要經過中國，黑客叫賣 zoom 賬號一分錢購買 71 個……

　　Zoom 就這樣，一下子處在了風口浪尖上。

　　當然，也有人為 Zoom 鳴不平，正是因為用戶數一下子暴增的 20 倍，讓 Zoom 有了很多前所未有的新用途，相信沒有哪一個視頻會議軟件能夠頂住這一層壓力。

　　前 Facebook 首席安全官、Zoom 安全顧問 Alex Stamos 就表示：Zoom 在疫情之中面臨很大的變化，公司必須以新的方式去思考隱私和安全問題。

　　好在這一次，面對問題，Zoom 不拖沓了。

　　Grupo Banco Santander 網絡安全研究負責人 Daniel Cuthbert 說：“Zoom 的漏洞很嚴重，但并非唯一的、特殊的。現在，Zoom 迅速采取了行動，這是令人欣喜的舉措。”

　　就在被錘爆后，Zoom 公開宣布將停止開發新功能，將在 90 天的時間里面進行各種問題的修復，并將在每周舉辦一次研討會，直接對話 Zoom CEO 袁征。

　　這不，已經舉辦了兩次的研討會，在官網上已經有了會議記錄。

　　先是第一次研討會上，袁征與5,900 多名與會者進行了交談，并通過 YouTube 直播加入了更多與會者。

　　會上，袁征主要是回答了一些問題，其中最為主要的就是關于“加密”。

　　我們使用的是 AES 加密的方式，密鑰是由我們的系統生成的。我們正在開發一項功能，以便從我們的客戶那里生成密鑰。我們正在將加密從 AES-256 ECB 升級到 AES-256 GCM。

　　未來的 45 天里，將致力于讓每個用戶都能夠升級程序，使用新功能。

　　而在第二次的研討會上，Zoom 便有了實質性的進展。

　　首先是在人員調動上面，新的安全顧問 Alex Stamos 也在會上亮相。

　　Alex Stamos 是前 Facebook 首席安全官，是斯坦福大學國際安全與合作中心的計算機科學家及兼職教授。

　　此外，還啟動了一個漏洞賞金計劃。

　　Zoom 將與 Luta Security 合作，重新啟動漏洞賞金計劃。

　　Luta Security 將通過 90 天的“康復”計劃全面評估 Zoom 的計劃，該計劃將涵蓋所有內部漏洞處理

　　流程。

　　Luta Security 由Katie Moussouris創建。

　　雖然名字大家陌生，但這個人，來頭真不小。

　　她曾在 Microsoft、Pentagon 上創建了漏洞賞金計劃，并還直接參與了美國國防部為黑客制定的第一個漏洞賞金計劃。

　　看來，Zoom 要解決網絡安全的問題決心很大呀。

　　最后，袁征團隊也強化了一些安全功能。比如主持人或聯合主持人可以使用“鎖定會議”、“啟用等候室”、更改了視頻會議的默認設置、增強了密碼的復雜性等等。

　　甚至還對外公開了內部工作計劃時間表。

　　這一次，看起來是真心改過了。

　　但是，隨著疫情對視頻會議軟件的催熟。

　　目前 Zoom 面臨的競爭形勢大變，不說微軟和谷歌等巨頭紛紛加碼，加大在視頻會議方面的投入和產品體驗提升。

　　一眾中國公司，也紛紛“揭竿而起”，騰訊會議、飛書、阿里云會議……就連百度內部 IM 工具百度 Hi、網易內部 IM 工具，都紛紛傳出要“對外開放”的聲勢。

　　留給 Zoom 的時間，不多了。

　　留給客戶的可選項則更多了，流暢、安全，更要免費……Zoom 之前“獨享”的蛋糕，現在競爭可是空前激烈的。

　　對了，你們視頻會議，用的啥軟件嘞？

總結

以上是生活随笔為你收集整理的客户花钱雇黑客，竟是为Zoom找bug的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。