從漏洞到 「Zoom Bombing」亂入視訊:如何維護線上會議安全?

人們的生活看似因為新冠狀病毒(COVID-19,俗稱武漢肺炎) 疫情以及維持社交距離的關係而發生了許多改變,但這只不過是讓多年前就已掀起的風潮更加迅速而已。早在病毒來襲之前,人們待在網路上的時間就已經開始越來越長。不同的是,現在因為被迫在家工作、在家學習、在家社交,所以網路世界成了人們溝通不可或缺的重要管道,而視訊會議也成了這世界裡唯一讓人們「面對面」溝通的窗口。


問題是,隨著視訊會議服務開始聚集越來越多人潮,歹徒也暗中伺機而動,不論是干擾或竊聽人們的聊天內容,或是散播惡意程式並竊取資料。其中,一夕爆紅的 Zoom 視訊會議軟體所引發的資安疑慮最為大眾所熟知,這卻不是唯一暗藏潛在資安風險的平台。Cisco 的 WebExMicrosoft Teams 也同樣發生過問題,其他一些較名不見經傳的平台 (如 Houseparty ) 其安全性就更不可靠了 (從其名稱就能看出它不是針對安全性而設計)。


讓我們來看看視訊會議軟體有哪些威脅以及您如何確保視訊會議的安全。

延伸閱讀:Zoom 相關惡意網域,與「Zoom Bombing」亂入視訊會議轟炸中

 

有哪些風險?

隨視訊會議平台的性質 (工作或娛樂) 與應用 (商用或個人用) 而定,網路駭客可能有各種不同機會亂入、干擾或竊聽視訊會議通訊,其中尤以竊聽最為嚴重 (若會議內容是有關敏感的企業資訊的話)。

此外,駭客也有可能希望藉由聊天和檔案分享功能來散布惡意程式,進而掌控您的電腦,或者竊取您的密碼與敏感的個人資料及金融資訊。若是商用環境,駭客甚至可能試圖盜取您的視訊會議帳號,假冒您的名義參加會議,目的是希望竊取資訊或詐騙您的同事或公司。

不僅如此,歹徒還會利用您家用電腦、裝置的防護不如辦公室或學校來得嚴密,以及當您待在家中時可能對潛在威脅較缺乏戒心等等弱點。

駭客有各種技巧可用來達成他們的目的,包括:

  • 攻擊視訊會議軟體的漏洞,尤其當這些軟體未隨時保持更新,因而無法防範最新威脅時。
  • 利用惡意程式或網路釣魚攻擊來竊取您的登入憑證或會議識別碼 (Meeting ID),或擷取社群媒體上分享的會議識別碼或密碼。
  • 將惡意程式暗藏在看似正常的視訊會議軟體、連結、檔案當中。
  • 從本地端或雲端上儲存的會議錄影當中竊取敏感資料。

聚焦 Zoom 的問題

 


Zoom 在許多方面其實是被自己一夕爆紅所累,該軟體的用戶人數從去年 12 月的每日1 千萬突然暴增至 2020 年 3 月 的每日 2 億,幾乎所有人都在關注這個平台,不幸的是,這當中也包括了駭客。過去幾個月來,Zoom 已經被爆出多項資安與隱私問題,包括所謂的「Zoom 轟炸」(Zoombombing,也就是會議進行當中遭不明人士亂入),以及可能誤導的加密聲明、會議等候室漏洞、帳號密碼被盜與蒐集的資料外洩,還有假的 Zoom 安裝程式。平心而論,Zoom 對這些問題的回應還算迅速,也重新調整了軟體開發的重心,優先處理近期因密集使用而浮現的資安與隱私問題。


其實 Zoom 並非唯一發生這類問題的軟體,今年稍早,Cisco Systems 的 WebEx 也爆出一些問題,該視訊會議軟體廣獲企業用戶青睞,但該平台卻被發現一個漏洞可能讓未經認證的遠端駭客亂入加密保護的視訊會議當中。而駭客只須知道會議識別碼,再配合 iOS 或 Android 版本的 WebEx 行動應用程式,就能不須經過認證直接亂入進行中的會議。Cisco 火速修正了這個高嚴重性漏洞,但 WebEx 過去還有許多其他漏洞至今仍未修復,包括一個可能讓遠端駭客發送偽造請求給伺服器的漏洞。


就在不久前,業界領先的視訊會議平台 Microsoft Teams 也同樣出現了致命漏洞。該軟體在 4 月 27 日被發現至少有三週的時間 (從 2 月底至 3 月中),駭客可利用某個惡意的 GIF 圖片竊取 Teams 帳號的使用者資料,甚至波及整個企業。該漏洞在 4 月 20 日被修正,但卻也提醒所有視訊會議軟體的使用者,就算是領先的廠商 (如 Zoom、WebEx 和 Teams) 也並非不會出錯,同樣需要定期修補漏洞和資安問題以確保安全。隨著 COVID-19 疫情迫使員工在家上班,員工因為必須透過可能不安全的家用網路與家用裝置連上公司網路與系統,這類問題將更加嚴重。

視訊會議新選擇


那麼,您該如何挑選一套最好、最安全的視訊會議軟體來滿足您在家上班的需求呢?今日市場上有許多解決方案,事實上,這類產品多到令人眼花撩亂。有些只單純提供視訊或電話會議,有的還允許分享和儲存文件與筆記。有些只適合一對一連線或小群組討論,有些則可支援上千人開會。


簡單來說,您必須挑選最適合您需求的視訊會議解決方案,並且確認它至少達到在家上班所要求的最低資安標準。這些標準包括:端對端加密、經常自動更新、使用自動產生的會議識別碼、嚴格的存取控管、妥善的漏洞管理制度,最後,廠商的隱私權政策也很重要。


除了 ZoomWebExTeams 之外,您還有一些其他的視訊會議軟體可以選擇:

  • Signal:提供端對端加密與高安全性,但僅支援一對一通話。
  • FaceTime:Apple 內建的視訊聊天工具,易學易用並提供端對端加密,不過僅適用於 Mac 和 iOS 用戶。
  • Jitsi Meet:這是一套免費、開放原始碼的視訊會議軟體,支援 Android、iOS 以及桌上型裝置,只要您的頻寬能夠應付得來,會議人數沒有限制。
  • Skype Meet Now:這是 Microsoft 的免費熱門視訊會議工具,會議人數上限為 50 人,不須辦帳號就能使用 (不像 Teams 是付費的商用平台並僅限於 Office 365 用戶)。
  • Google Duo:這是一個純視訊聊天軟體,可搭配該公司的 Hangouts 平台來發送簡訊。Hangouts Meet是商用性質的付費版本。
  • Doxy.me:這是一個專門給醫生和治療師使用的知名遠距醫療平台,透過一般的瀏覽器來使用,因此您的瀏覽器軟體務必隨時保持更新,並且務必開啟相關的安全與隱私設定。在居家隔離與在家上班的這段期間,安全的醫療諮詢更顯得重要。

使用者如何確保自身安全?


不論您使用的是何種視訊會議平台,最重要的是要記住網路犯罪集團隨時都在尋找任何可利用的資安漏洞,不論是您使用的工具或是您的使用習慣。所以,您該如何確保視訊會議軟體的安全?以下所列的祕訣有些雖然是針對 Zoom 軟體,但其他軟體平台也有對應的設定和良好習慣。視您的使用情境而定,有些選項您或許可以不要啟用。

  • 在選用任何視訊會議軟體之前,先查看它是否提供端對端加密,包括儲存中的資料也要加密。
  • 對於定期召開的會議,請務必使用自動產生的一次性會議識別碼與密碼 (Zoom)。
  • 切勿在網路上公開任何會議識別碼。
  • 使用 Zoom 的等候室功能 (之前的漏洞已經修正),這樣一來,主持人就可以利用預先設定好的與會者名單來控管參加會議的人員。
  • 會議一旦開始就將會議鎖定,不讓任何新的人進來。
  • 允許讓主持人暫時凍結某位與會者,必要時甚至將該人踢出會議。
  • 當有人加入或離開會議時播放聲音。
  • 將螢幕分享的功能設定成只有會議主持人 (host only) 可以分享,以防止參加會議的來賓播放一些可能干擾會議的內容。
  • 停用「檔案傳輸」功能以防止可能的惡意程式散播。
  • 隨時保持系統更新,確保沒有已知的漏洞可讓駭客攻擊。
  • 只從 iOS/Android 官方商店或製造商的網站下載軟體。
  • 絕不點選不請自來郵件內的連結或開啟隨附的檔案。
  • 檢查您視訊會議帳號的設定,如果您不想出現在會議畫面上,請關閉相機的存取權限。
  • 使用密碼管理員來登入視訊會議軟體。
  • 可以的話,使用雙重認證 (2FA) 或單一簽入 (SSO) 來彌補密碼的不足。
  • 在所有裝置和個人電腦上安裝信譽優良的惡意程式防護軟體。可以的話,安裝一套網路防護解決方案。

趨勢科技能提供什麼協助?

所幸,趨勢科技提供了各式各樣的資安產品來讓您安心在家使用視訊會議服務。


趨勢科技 Home Network Security (HNS) 能保護您家中每一個上網的裝置。它能保護您免於網路釣魚郵件惡意連結與附件檔案的威脅,這類郵件大多假冒來自視訊會議軟體公司,或是來自暗中潛入會議當中的駭客。該產品內含的 Vulnerability Check (漏洞檢查) 功能可偵測您家用裝置與個人電腦 (包含工作用筆電) 可能存在的任何漏洞,其 Remote Access Protection (遠端存取防護) 可降低技術支援詐騙與不明遠端連線的風險。最後,它還可讓家長控管兒童使用的視訊聊天軟體,避免兒童暴露於網路風險。


趨勢科技PC-cillin同樣也提供了電子郵件、檔案與網站威脅防護來保護您的裝置。不僅如此,其隨附自動安裝的「趨勢科技密碼管理通」還可協助使用者針對每一個用到的應用程式與網站分別建立非重複且高強度的密碼,當然也包括視訊會議網站。


最後,還有趨勢科技 WiFi Protection (多平台) / VPN Proxy One (Mac 與 iOS)可提供 VPN 連線來讓您安全上網,為網路流量建立安全的加密通道。此 VPN 軟體適用於無線 Wi-Fi 與有線乙太網路連線。這對一些擔心視訊會議軟體可能不提供端對端加密的使用者來說是一大福音,此外也可以在使用這類軟體時保護個人資料與身分資訊。

原文出處:From Bugs to Zoombombing:How to Stay Safe in Online Meetings

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用

💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂

FB IG Youtube LINE 官網
PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用

💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂

FB IG Youtube LINE 官網