信息化觀察網(wǎng)

美國時間 7 月 8 日，安全研究員 Jonathan Leitschuh 公開披露了視頻會議服務(wù)商 Zoom 一個嚴(yán)重的零日漏洞（zero-day exploit）——惡意網(wǎng)站未經(jīng)用戶同意可遠程激活攝像頭，讓這家三個月前剛在納斯達克上市的明星獨角獸蒙上陰影。

據(jù) Buzzfeed News 報道，Leitschuh 將這個漏洞遭攻擊的可能性定為 8.5 分（10 分），而 Zoom 給出的分數(shù)是 3.1。目前還不清楚這種漏洞本身是否造成了問題，但 Zoom 對用戶隱私的態(tài)度似乎更令人擔(dān)憂。Leitschuh 早在 3 月底就向 Zoom 反饋了這個漏洞，但相關(guān)補丁卻是在他公開披露后才給出的。

Zoom 的辯解

Leitschuh 發(fā)現(xiàn)，用戶只要在 Mac 電腦上安裝了 Zoom 客戶端，就會讓應(yīng)用內(nèi)的 Web 服務(wù)器持續(xù)在后臺運行。Zoom 這樣做的原因是想讓用戶可以在任何場景下「一鍵進入視頻會議」。用戶只要點擊類似 https://zoom.us/j/xxxx 的邀請鏈接，就會自動跳轉(zhuǎn)到客戶端，并啟動攝像頭（默認設(shè)置）。即便用戶卸載了 Zoom 客戶端，Web 服務(wù)器仍會保留在本地，一旦用戶點擊了會議邀請鏈接，客戶端無需用戶同意也能自動重安裝。

快速開始在線會議 | Slack

「我們認為這是解決不佳用戶體驗的合理解決方案，它讓用戶能夠更快地一鍵加入會議。我們并不是唯一使用這種解決方案的視頻會議提供商?！筞oom 聲明稱。自 Safari 12 版本開始，Zoom 用戶收到會議呼叫需要點擊「確認」才能進行。顯然，在 Zoom 看來，這多出來的一步削弱了接入會議的無縫體驗。Zoom 也未在使用說明或產(chǎn)品文檔披露過這個隱藏動作。

「任何網(wǎng)站（包括惡意網(wǎng)站）都可以在沒有獲得用戶許可的情況下，激活攝像頭，將用戶強行加入到 Zoom 通話中」，Leitschuh 指出，他早在今年 3 月底就將漏洞提交給 Zoom，但對方并沒有及時作出進一步的動作。當(dāng)時，Zoom 正處于 IPO 的籌備期。美國時間 4 月 18 日，也就是 Zoom 上市的第一天，公司市值漲到了 159 億美元。

Zoom 上市 | 視覺中國

遭公開披露后，隨著外界討伐的聲量越來越大，Zoom 在第二天推送了應(yīng)用更新——攝像頭在用戶接入視頻會議之前需要得到授權(quán)，而不是自動開啟。7 月 11 日，TechCrunch 報道稱，蘋果已為 Mac 用戶推出了一項靜默更新，已經(jīng)將 Zoom 里危及用戶隱私的組件刪除了。

「起初，我們并不認為 Web 服務(wù)器和視頻打開方式會對用戶造成重大風(fēng)險?！筞oom 發(fā)言人 Jonathan Farley 的這句話指向的，似乎是 Zoom 提供「便利」并不首先以用戶隱私為前提。而此次被曝漏洞所波及的，卻是全球 75 萬家公司，400 多萬用戶。

隱私不是第一位

無獨有偶，上個月底，一家剛?cè)诘?3300 美元的郵件客戶端創(chuàng)業(yè)公司 Superhuman，也因為追求功能、放棄隱私而被罵上了頭條。這個還處于「邀請內(nèi)測」階段郵件客戶端備受歡迎，其中一個原因是它提供了「監(jiān)視」郵件發(fā)送情況的功能。Superhuman 可以及時告知發(fā)件人——收件人是否打開了郵件以及打開的次數(shù)、時間和地點。而這一切，收件人毫不知情。

輿論嘩然，Superhuman 宣布將移除「位置追蹤」的功能，刪除目前服務(wù)器上儲存的一切定位數(shù)據(jù)，今后將把「追蹤已讀回執(zhí)」功能設(shè)為默認關(guān)閉，且會允許用戶禁用「遠程圖片」功能。

Superhuman 郵件界面 | Superhuman

在此之前，Superhuman CEO Rahul Vohra 解釋道，「我們只關(guān)心用戶的需求，沒有考慮潛在的負面影響。」Vohra 說，「如果人們創(chuàng)造出了一些新的東西，而且它們開始流行，那么市場就會拽著我們往一個方面走?！顾J為，用戶的需求決定了產(chǎn)品的設(shè)計。換句話說，這些用戶首先看到的，并不是隱私。

《紐約時報》的一篇文章概括了科技公司處理用戶隱私問題的五個階段：科技公司推出了備受歡迎的產(chǎn)品，被媒體曝出幕后的不道德行為后，公司澄清、道歉或承諾改正，人們淡忘了一段時間后，發(fā)現(xiàn)科技公司并沒有真正解決問題。「硅谷崇尚的是高效和便利，而隱私保護往往和這種精神背道而馳。」作者寫道。因為這些產(chǎn)品在設(shè)計之初，就沒有將隱私作為基礎(chǔ)和底色。所以，隱私問題并不是那么容易解決。

但像蘋果和 Facebook 這種科技巨頭，也正在為此做出努力。在 WWDC19 上，蘋果宣布即將上線一個基于 Apple ID 的賬戶登錄功能——Sign in with Apple。有了它，用戶可以用蘋果提供的一個隨機郵件地址進行登錄，防止被服務(wù)商跟蹤。對于使用了第三方服務(wù)商的賬戶登陸的應(yīng)用，蘋果強勢表明必須要將「Sign in with Apple」作為其中的一個登錄選項。

Sign in with Apple | 視覺中國

而 Facebook 在劍橋分析丑聞曝出后，也在隱私處理上邁出了腳步。扎克伯格先是聲明將推出「清理歷史記錄」功能，再到帶領(lǐng) Facebook 轉(zhuǎn)型（未來端到端的加密服務(wù)將貫穿于旗下包含的所有即時通訊業(yè)務(wù)）。在首款智能視頻聊天設(shè)備 Portal 上，F(xiàn)acebook 謹慎地不提供視頻錄制的功能。

「面對爭議，科技公司正在做出一些小的改變，但不太可能徹底改變它們對待隱私的方式。除非，用戶更愿意為隱私買單?！箍萍济襟w Axios 寫道。