WhatsApp、Slack、Zoom......哪款聊天軟件才是最安全的?
Robert Hackett
2020-05-17
虛擬會議軟件如雨后春筍般涌現,其中最為知名的就是Zoom,不過最近出現了不少漏洞。
美國政府認為遠程工作趨勢將成為國家安全問題。美國國家安全局最近發布了對13款最流行商業視頻聊天工具的評估報告。在該報告所附聲明中,國家安全局稱:“用戶可通過遵守操作指南,降低其風險,而且也能更好地防范惡意攻擊者。”
國家安全局將最高評分給了Facebook的WhatsApp、Signal(WhatsApp便使用了其代碼)及其競爭對手聊天應用Wickr。其中的一些評分標準包括:該服務是否使用了能夠阻止竊聽和窺探的端對端加密技術?是否擁有可安全鎖定用戶賬戶的多重身份驗證技術?該應用采用的技術是基于可公開查驗的開源代碼(業界認為這類代碼比神秘的專屬軟件更安全)?
在國家安全局眼中,所有其他應用至少都有一項缺陷。谷歌的G Suite和微軟的Teams缺乏端對端加密,而且并未使用開源代碼。思科的Webex、Zoom、Slack和Skype for Business的數據刪除政策均有不妥之處。GoToMeeting沒有提供多重身份驗證選項,而手機短信服務則在上述所有方面都不合格。
該報告并沒有做到面面俱到。國家安全局并沒有對代碼漏洞進行評級,也沒有對可利用漏洞的受攻擊頻率進行統計;任何有關Zoom“zero-days”漏洞或微軟Teams的GIF攻擊都不在該調查的范圍之列,它對Facebook的多次隱私泄露也是只字未提。
安全研究員約翰·斯科特·雷爾頓在一篇推文中抱怨說,該報告只是看到了Zoom實施端對端加密宣傳的表象,但他自己所做的調查卻給出了不同的結論。此外,最令人感到意外的是,該報告完全忽視了蘋果的FaceTime這一經常受到安全專家贊賞的應用。
在這場激烈的用戶爭奪戰中,各大科技公司通常會忽略安全措施和必要的審計,這種決策雖然會刺激用戶數量的增長,但最終會給用戶帶來難以估量的傷害。佐治亞州立大學的法學副教授杰弗瑞·威格爾在安全博客Just Secutiry發表的一篇發人深省的文章中指出,各大公司會制定一些以增長而非安全為目的的激勵政策,但它們往往會成為這類糟糕政策的犧牲品。
經濟學家將其稱之為道德危害。(財富中文網)
譯者:Feb
虛擬會議軟件如雨后春筍般涌現,其中最為知名的就是Zoom,不過最近出現了不少漏洞。
美國政府認為遠程工作趨勢將成為國家安全問題。美國國家安全局最近發布了對13款最流行商業視頻聊天工具的評估報告。在該報告所附聲明中,國家安全局稱:“用戶可通過遵守操作指南,降低其風險,而且也能更好地防范惡意攻擊者。”
國家安全局將最高評分給了Facebook的WhatsApp、Signal(WhatsApp便使用了其代碼)及其競爭對手聊天應用Wickr。其中的一些評分標準包括:該服務是否使用了能夠阻止竊聽和窺探的端對端加密技術?是否擁有可安全鎖定用戶賬戶的多重身份驗證技術?該應用采用的技術是基于可公開查驗的開源代碼(業界認為這類代碼比神秘的專屬軟件更安全)?
在國家安全局眼中,所有其他應用至少都有一項缺陷。谷歌的G Suite和微軟的Teams缺乏端對端加密,而且并未使用開源代碼。思科的Webex、Zoom、Slack和Skype for Business的數據刪除政策均有不妥之處。GoToMeeting沒有提供多重身份驗證選項,而手機短信服務則在上述所有方面都不合格。
該報告并沒有做到面面俱到。國家安全局并沒有對代碼漏洞進行評級,也沒有對可利用漏洞的受攻擊頻率進行統計;任何有關Zoom“zero-days”漏洞或微軟Teams的GIF攻擊都不在該調查的范圍之列,它對Facebook的多次隱私泄露也是只字未提。
安全研究員約翰·斯科特·雷爾頓在一篇推文中抱怨說,該報告只是看到了Zoom實施端對端加密宣傳的表象,但他自己所做的調查卻給出了不同的結論。此外,最令人感到意外的是,該報告完全忽視了蘋果的FaceTime這一經常受到安全專家贊賞的應用。
在這場激烈的用戶爭奪戰中,各大科技公司通常會忽略安全措施和必要的審計,這種決策雖然會刺激用戶數量的增長,但最終會給用戶帶來難以估量的傷害。佐治亞州立大學的法學副教授杰弗瑞·威格爾在安全博客Just Secutiry發表的一篇發人深省的文章中指出,各大公司會制定一些以增長而非安全為目的的激勵政策,但它們往往會成為這類糟糕政策的犧牲品。
經濟學家將其稱之為道德危害。(財富中文網)
譯者:Feb
Virtual conferencing software—most notably Zoom, despite many recently uncovered vulnerabilities—is surging.
The U.S. government considers the remote-working trend to be a matter of national security. The National Security Agency recently released an assessment of 13 of the most popular commercial video chatting tools. In a statement accompanying the report, it said, "By following the practical guidelines, users can draw down their risk exposure and become harder targets for malicious threat actors."
The NSA's highest marks went to Facebook's WhatsApp, Signal (whose code WhatsApp uses), and rival chat app Wickr. Some of the grading criteria: Does the service use end-to-end encryption, which blocks eavesdroppers and snoops? Does it have multi-factor authentication, an option that securely locks down user accounts? Is the technology based on publicly inspectable, open-source code, which is considered more secure than inscrutable proprietary software?
Every other service has at least one deficiency, in the eyes of the NSA. Google G Suite and Microsoft Teams lack end-to-end encryption and do not use open source code. Cisco Webex, Zoom, Slack, and Skype for Business have suboptimal data deletion policies. GoToMeeting has no multi-factor authentication option. SMS texting fails on pretty much all fronts.
The report isn't comprehensive. The NSA makes no attempt to rate code bugginess, nor the prevalence of exploitable vulnerabilities; any discussion of Zoom "zero-days" or Microsoft Teams GIF attacks are out of scope. Facebook's innumerable privacy breaches garner no mention.
John Scott-Railton, a security researcher, griped in a tweet that the report took Zoom's claims of implementing end-to-end encryption at face value, despite his research indicating otherwise. And perhaps most strangely, the report entirely omits a review of Apple's FaceTime, a service frequently praised by security experts.
In their breakneck quests to attract large followings, tech companies often disregard safety measures and proper audits, a decision that juices growth but ultimately hurts users in incalculable ways. As Jeffrey Vagle, an assistant professor of law at the Georgia State University College of Law, notes in a perspicacious piece for the security blog Just Security, businesses all too often fall prey to bad incentives, optimizing for growth rather than security.
A moral hazard, as economists call it.
財富中文網所刊載內容之知識產權為財富媒體知識產權有限公司及/或相關權利人專屬所有或持有。未經許可,禁止進行轉載、摘編、復制及建立鏡像等任何使用。
