视频会议软件 Zoom 中的一个安全漏洞使尚未获准参加会议的用户仍然可以观看。 Zoom 提供了一个“候诊室”,所有想参加会议的人都可以在此接待。 然后,会议主持人可以让等候室中的人访问会议。 这应该防止直接访问会议。
原来,Zoom 服务器自动将会议的直播视频流以及会议的解密密钥发送给等候室的所有用户。 即使主持人没有允许,他们也可以观看会议。 Zoom 建议使用等候室,以防止 Zoom 轰炸等滥用行为。 会议的音频流没有发送给等候室的人。
多伦多大学下属实验室 Citizen Lab 的研究人员发现了该漏洞,并于 7 月初向 Zoom 报告了该漏洞。 XNUMX 月 XNUMX 日,Zoom 在自己的服务器上进行了安全更新,从而解决了该漏洞。 因此,Citizen Lab 现在已经公开了安全漏洞的细节。
此前,Citizen Lab 发布了一份关于 Zoom 各种问题的广泛报告,包括使用的加密以及非中国用户的加密密钥被发送到中国服务器的事实。 此外,美国公司 Zoom 似乎拥有 700 家中国公司,员工约 XNUMX 人,他们通过开发 Zoom 软件获得报酬。 与此同时,Zoom 已停止为非中国用户使用中国服务器。 此外,该公司表示将实施端到端加密,但这可能仍需要数月时间。