云端视讯会议进行时可能被人监听!市值 200 亿美元 ToB 独角兽 Zoom

2020-06-16 544人围观

云端视讯会议进行时可能被人监听!市值 200 亿美元 ToB 独角兽 Zoom

保障使用者隐私和资讯安全问题已成为时下焦点话题,对于一家市值超过 200 亿美元的云端视讯新创企业独角兽 Zoom 来说,却在这件事上受挫。

近日,名为「Prying-Eye」的漏洞遭公布,可让入侵者扫描未受保护的视讯会议 ID,并监听企业视讯会议内容。

据多家外媒报导,应用程式安全新创公司 Cequence 的部门 CQ Prime 威胁研究小组发表报告指出,早在今年 7 月就发现这个「Prying-Eye」漏洞。小组认为,由于许多视讯会议不受密码保护,Zoom 和思科旗下的 Webex 可能受到攻击。随后,这两家公司均为系统发布修补程式。

具体来说,攻击者可利用 Prying-Eye 漏洞发起列举攻击(enumeration attack),透过自动检测大众应用程式,辨识数字或字母序列,最直接的做法就是测试 ID,如果会议不受密码或其他身分验证保护,就给攻击者乘虚而入的机会。

研究小组使用旨在扫描和发现 Webex 和 Zoom 视讯会议 ID 的机器人,呼叫系统 API。

对此,CQ Prime 方面表示,当机器人在序列来回查询会议 ID 时,它会确定 ID 是否有效及是否需要密码。攻击者可回覆并查看或收听正在进行的会议,甚至还能透过该方法确定接下来使用者创建的会议 ID。

然而,这并不意味攻击者只能看到这些资讯。一旦确定不受保护的会议 ID,攻击者还可以获得该会议房间个人更多资讯,例如姓名、邮件地址等。

值得注意的是,目前尚没有迹象表明漏洞在 Zoom 或 Webex 遭利用。

早在今年 7 月,Zoom 就因使用者移除应用程式而无法从 Mac 删除 Web 伺服器一事引发热议。儘管 Zoom 解决漏洞,但后来苹果被迫出面干预,以确保所有 Mac 使用者都受到保护。

在中国视讯会议市场,除了本土技术供应商,Zoom、Webex 等基于网路云端视讯会议厂商主要透过代理商进入中国,提供产品支援同时,将完整解决方案的服务和营运交给本土代理商。

毫无疑问,Zoom 是云端视讯领域炙手可热的企业服务公司,于今年 4 月登陆那斯达克,上市首日股价大涨 72%,并一度突破 200 亿美元市值。国际数据公司 International Data 估计,到 2022 年,Zoom 所在的细分市场价值可能高达 431 亿美元。云端视讯会议进行时可能被人监听!市值 200 亿美元 ToB 独角兽 Zoom

创始人兼 CEO 袁征曾先后为 Webex、思科服务近 14 年,Zoom 的创立也直接冲着思科 Webex 而来,适合不同规模的企业使用。公开资料显示,截至 2015 年,Zoom 在全球拥有超过 4,000 万使用者,在中国市场,客户範围更涵盖三一重工集团、农村商业银行等企业。

然而,这段时间,Zoom 在中国市场的开拓却频遭挫折。

9 月,Zoom 用户在众多社群平台表示「Zoom 无法登陆,中国使用者无法使用 Zoom 国际版,无法发起 Zoom 会议」,随后 Zoom 官网承认这消息,并表示工信部通知全面封锁 Zoom 国际版伺服器,后期也会持续封锁。

关于被封锁的原因,「极有可能是因为 Zoom 的伺服器位于国外,而中国规定在境内从事通讯活动需持有经营许可证,且营运产生的个人资讯和重要数据需要在境内储存。」申万宏源证券分析师施鑫展受採访时表示。

Zoom 在中国市场遭遇「封锁」或许仅是开始,未来使用者将不得不寻找其他替代产品,那幺是否为中国云端视讯供应商的新商机?

除了维持原有优势,Zoom 还能怎幺做?

从 Zoom 本身市场格局来看,除了维持原有业务优势,势必将以拓展更多应用场景、产品及商业模式创新、加速国际化等方式抢占更多市占率。

如今有许多使用者对新型企业沟通方式的接受程度日渐提高,更多视讯会议供应商也意识到必须挣脱原有「会议」内涵的束缚,尝试寻找基础视讯能力之外,与行业应用深入整合的第二业务,例如双师课堂、远程诊疗、企业协作等新兴场景的拓展。

对 Zoom 而言,接下来在中国市场面临的最大风险势必来自政策导向。在国家政策对资讯安全的要求下,Zoom 等海外企业想进入中国,将迎来愈严格的管控方式,整个中国视讯会议业的格局及走向也会有变化。

推荐文章