資安一周第88期：Zoom資安弱點連環爆，干擾視訊會議事件頻傳，臺灣政府決定全面禁止使用

0402-0408 一定要看的資安新聞

＃視訊會議  ＃漏洞揭露

電腦版Zoom應用程式傳出允許駭客擴張權限的漏洞

因在家上班而使用量大幅成長的視訊會議平臺Zoom，其Windows與macOS版本的應用程式，相繼被研究人員發現重大漏洞。網路安全公司VMRay惡意程式研究人員Felix Seele指出，macOS版的應用程式會在未經使用者同意就在背景擅自執行安裝，這是駭客植入惡意軟體常見的手法。

另一個被資安研究者Objective-See發現的程式漏洞，則是Zoom應用程式向使用者要求權限時，能允許駭客程式碼注入，進而控制Mac電腦的視訊鏡頭和麥克風。至於研究員Mitch在推特上揭露Windows版用戶端程式漏洞，則是與UNC注入有關，駭客能藉此得知Windows的密碼。上述3個漏洞Zoom已經完成修補，並推出4.6.9版軟體。詳全文

圖片來源：Felix Seele

＃視訊會議  ＃Zoom轟炸

亂入Zoom會議事件頻傳，美國密西根州檢察官呼籲民眾切勿以身試法

視訊會議系統的使用量爆增，趁機攻擊與干擾會議進行的亂象也日益嚴重。先前FBI警告，美國已發生多起駭客隨意闖入Zoom會議的事件，該國密西根州檢察官指出，在武漢肺炎流行期間，鎖定視訊會議發動攻擊或是任意闖入的行為，將觸犯各州與聯邦法令，面臨罰款與判刑。

這種影響線上會議進行的行為，當地稱作「Zoom轟炸（Zoom-bombing）」，駭客的舉動，會是闖入正在進行的視訊會議或線上課程，然後發布色情照片、仇恨照片，或者是威脅言論。

對於一般使用者，當地檢察官則是呼籲要採取FBI推出的手則來防範，例如不要公開舉辦會議或是課程，並且落實由主持人管理螢幕分享功能等措施。詳全文

＃在家工作  ＃視訊會議

資安疑慮連環爆！Zoom執行長公開道歉，並承諾採取補救措施

為了防範武漢肺炎疫情蔓延而興起的「在家工作」風潮， 導致Zoom視訊會議平臺使用量爆增，然而該平臺卻接連爆發隱私與安全問題。對此，Zoom的創辦人暨執行長袁征親上火線，承諾將在未來90天凍結新功能的開發，把所有工程資源轉移到解決平臺的安全及隱私問題。

再者，該公司打算會同外部專案及使用者代表，共同審核Zoom的資訊安全，並且準備推出透明度報告，以及強化抓漏獎勵專案等措施，來改善Zoom的安全性。詳全文

＃產業動態  ＃視訊會議

資安疑慮未釐清，中華電信宣布停售Zoom

視訊會議軟體Zoom的資安疑慮引發高度討論，不僅用戶端軟體存在嚴重的漏洞，採用的加密措施等級未達宣稱層級，種種的資安疑慮下，國內開始有業者付諸行動，原本與Zoom合作銷售企業行動視訊會議方案的中華電信，宣布停售該產品。

該公司表示，近期Zoom資安漏洞疑慮不斷被報導，他們在3月30日請代理商摩百數位提出說明，但在疑慮未釐清前，該公司在4月6日正式對外宣布停售這項服務方案。詳全文

＃公部門資安

行政院下令公務機關不應用Zoom，教育部也將發函各校禁用

近期Zoom屢屢爆出資安疑慮，繼中華電信宣布停止原本的Zoom服務方案銷售後，行政院資通安全處4月7日正式對外說明，指出各機關若因業務需求召開視訊會議，不應使用具有資通安全疑慮的產品，例如Zoom。

在行政院發函各機關單位後，教育部也在同日發表後續處置說明，將通知各級學校全面禁用Zoom，同時把教育雲「線上教學便利包」中的Zoom相關使用說明全面移除。詳全文

＃漏洞揭露  ＃視訊會議

Safari漏洞能讓惡意網站冒充視訊會議平臺，蘋果破例加發獎金給研究人員

許多人在家工作而需要使用視訊會議系統，但網路攝影機應用上的漏洞也備受關注，例如，有些惡意網站藉著瀏覽器漏洞，來存取裝置上的視訊鏡頭。AWS前員工Ryan Pickren於去年12月向蘋果通報了7個漏洞，影響iPhone與Mac電腦上的Safari瀏覽器，蘋果陸續於1月及3月修補上述漏洞。

其具體的攻擊手法，是藉由設立假冒的Zoom或Skype網站，受害者如果不慎使用Safari瀏覽器存取，駭客便能遠端開啟受害裝置的視訊鏡頭和麥克風。值得一提的是，原本漏洞懸賞計畫的獎勵上限是5萬美元，但因為是重大發現，蘋果特別發給Ryan Pickren共7.5萬美元，以茲鼓勵。詳全文

圖片來源：Ryan Pickren

＃視訊社交平臺

視訊聊天軟體Houseparty驚傳用戶個資遭駭，但官方表示是同行惡性競爭所致

在歐美擁有許多用戶的視訊聊天軟體Houseparty，在3月底，有數百名用戶在推特上指稱，他們的手機安裝這款聊天軟體之後，多個網路平臺的帳號就隨之遭駭，駭客取得包含了Netflix、eBay、Instagram、Snapchat，以及Spotify等帳號控制權，呼籲用戶要趕快刪除Houseparty帳號。

對此，開發者Life on Air強調他們沒有遭駭，這些推文是同行惡意重傷，並且打算對第一個提供線索的民眾，祭出100萬美元獎金。詳全文

圖片來源：Houseparty

＃資料外洩

飯店集團龍頭萬豪國際顧客管理系統遭駭，波及逾500萬人

繼2018年發生資料外洩事件後，全球最大飯店集團萬豪國際（Marriot International）再傳系統被駭客存取，約520萬名顧客個資可能外洩。

事件曝光的原因，是2月底該公司發現顧客管理系統出現異常，被人使用2名員工的帳密登入。經過調查，該公司相信事情首度發生於1月中。萬豪聲稱在發現非法存取行為當下，已經關閉上述員工帳戶，也報警並通知客戶。詳全文

＃BGP劫持  ＃CDN

全球200大CDN驚傳遭BGP劫持

內容傳遞網路（CDN）流量若是被誤導，將使得駭客能夠攔截，而能竊取重要資訊。例如，BGP流量監控業者BGPmon.net於美西時間4月1日晚上，偵測到BGP劫持事件，歷時約5分鐘，原應屬於臉書的CDN，其路由器網路前綴本為AS32934，竟異常地改為AS12389的自治系統（AS）宣告，而這個自治系統屬於俄羅斯電信公司。受影響的CDN前綴，預估超過8千個。

根據開源BGP資料分析框架BGPStream偵測，受影響的CDN，包括臉書、Google、Amazon、GoDaddy、Cloudflare、日本Line、NTT、香港ASline，以及其他小型CDN。詳全文

更多資安動態

●REvil勒索軟體大舉攻擊醫院VPN漏洞
●為遏止詐騙電話，FCC規定美國電信業者須採用特定通訊協定
●20萬WordPress網站採用的SEO外掛驚傳權限擴張漏洞
●Lexus汽車驚傳車輛診斷功能漏洞，他人能遠端控制影音導航系統
●在家辦公也要防範網路攻擊，Cloudflare推出可攔阻惡意軟體的免費DNS服務