七大主流视频会议产品安全性点评

新冠疫情在全球持续肆虐，数以千万计的员工遵循居家令远程办公，一度在国内火爆的视频会议应用也在全球遍地开花。

但是自从4月初Zoom安全性问题被全球媒体曝光(具体内容可参考安全牛此前的报道：Zoom到底做错了什么?)，视频会议应用的安全性一夜间超过其定价、功能，成为最受关注的“卖点”。甚至Zoom也多次表示，公司近期最重要的任务是提升产品安全性，而不是功能。

[[325050]]

那么，除了被曝光问题的Zoom之外，其他国际主流视频会议和远程办公应用，例如Slack、Team、Webex等，安全性如何?它们是否比Zoom更出色(端到端加密、隐私保护、安全标准、安全漏洞等)。近日卡巴斯基收集了互联网上的公开资料，对主流视频会议应用进行了“云点评”(未经实验室环境测试)，内容整理如下：

1. Slack

在Slack应用中，您可以为团队创建多个聊天工作区，方便地显示在一个窗口中，还可以在工作区中创建专门用于不同项目的通道。但Slack的会议功能偏弱，仅限于15名参与者。因此，不少用户会选择使用Zoom+Slack的组合。

(1) 安全性

Slack符合包括SOC 2在内的一系列国际安全标准，可以配置用于处理医疗和财务等敏感数据，并允许公司选择数据存储区域。加入Slack工作区需要使用公司域名的电子邮件地址发起邀请。

Slack还为客户提供灵活的风险管理工具，与数据防泄漏(DLP)解决方案的集成以及数据访问控制工具。例如，管理员可以限制从个人设备访问Slack或从“track”复制信息。

(2) 漏洞和弊端

Slack开发人员声称，只有少数企业确实需要端到端加密，并且该功能的实施会限制视频会议的性能和功能。因此，Slack显然没有计划添加端到端加密。

Slack允许用户集成第三方应用程序，但Slack不对其安全性负责。

此外，研究人员还发现了Slack中的严重漏洞。Slack已经修补了以下两个漏洞：一个漏洞使攻击者可以窃取数据;另一个漏洞则可以拦截用户的会话。

2. 微软Teams

[[325052]]

Microsoft Teams与Office 365集成，对于微软企业用户来说Teams更具优势。为了响应居家办公日益增长的需求，Microsoft现在提供了为期六个月的Microsoft Teams免费试用版，但是免费用户将无法配置用户设置和策略，这可能会损害安全性。

(1) 安全

Teams符合许多国际安全标准，可以设置用于处理机密的医疗数据，并提供灵活的安全管理选项。根据某些服务计划，用户可以将其他工具(例如DLP或传出文件扫描)集成到Teams中。Teams还受到MS Office 365安全方案的保护，可扫描通过Team交换的数据，以防止恶意软件在公司网络中传播。

Teams发送到服务器的数据，无论是聊天还是视频通话，都经过加密，但是同样，Teams没有谈论端到端加密。至于存储和处理，Teams可以确保数据永远不会离开您公司所在的地区。

(2) 漏洞

Microsoft通常会迅速修补漏洞，但漏洞依然会不时出现。例如，研究人员最近发现了一个漏洞(已被修补)，攻击者可通过恶意Gif文件接管Teams账户。

3. Skype商业版

Skype for Business的云版本(Office 365中Teams的前身)热度似乎正在消退，但是您仍然可以在本地安装它。一些用户发现它比Teams更方便，并且微软将在未来几年中继续支持Skype的本地版本。

(1) 安全

Skype for Business会加密信息，但不会端对端，并且该服务的保护是可配置的。它还使用本地服务器软件，因此视频通话和其他数据永远不会离开公司网络，这是一个明显的优势。

(2) 漏洞和弊端

除非Microsoft更改计划，否则对该应用程序的支持将在2021年7月结束，而Skype for Business Server 2019的扩展支持将持续到2025年10月14日。

4. Google Meet和Google Duo

Google提供了两种视频通话服务：Meet(环聊)和Duo。第一个是与Google全家桶(G Suite)集成的应用程序。如果您是G Suite的用户，那么Meet非常值得推荐。

(1) 安全性：Google Meet

Meet在安全性方面的优势之一是Google声称的可靠的数据处理基础结构、加密(注意并不是端到端)和一组保护工具，这些工具默认情况下都处于启用状态。与大多数其他业务产品一样，包括Google Meet在内的G Suite均符合高级安全标准，并在其功能中提供了配置和访问权限管理选项。

(2) 安全性：Google Duo

移动应用程序Duo提供端到端加密来保护数据。但需要注意的是，Duo是为私人用户而非企业而设计的应用程序。其会议最多只能容纳12位参与者。

(3) 漏洞和弊端

除了一些提醒我们所有人的消息，Google收集了用户数据，因此可能会对商业秘密构成威胁，我们无法找到有关这些应用程序安全性能的具体信息。这并不意味着Google服务是完美无缺的，但Google确实有一个非常强大的安全团队的支持，该团队往往能在问题招惹麻烦之前将其修复。

5. WebEx Meeting和WebEx Teams

思科的WebEx Meetings是一项非常专注于视频会议的服务。Cisco WebEx Teams是一项功能全面的协同工作服务，除其他功能外，还支持视频通话。就本文的讨论范围而言，区别在于加密方法。

(1) 安全

思科WebEx Meetings提供企业级服务和端到端加密。(该选项默认情况下处于关闭状态，但提供商会根据要求将其激活。这样做在某种程度上限制了该实用程序的功能，但是，如果您的员工在会议中处理机密信息，无疑是一个不错的选择。)Cisco WebEx Teams提供仅对信函和文档进行端到端加密，而视频和音频呼叫在思科服务器上解密(非端到端加密)。

(2) 漏洞和弊端

仅在今年3月，思科就修补了两个WebEx Meetings远程执行代码漏洞。去年年初，在WebEx Teams客户端中发现了一个严重的漏洞，它允许使用当前用户的特权执行命令。与微软、谷歌一样，思科非常重视安全性，有能力及时发现并迅速更新其服务。

6. WhatsApp

WhatsApp是为社交而非企业业务而构建的，但是免费的应用程序可以满足小型公司或团队的视频会议需求，但该程序并不适用于大型企业，其视频会议一次最多只能有四个参与者。

(1) 安全

WhatsApp具有真正的端到端加密的无可争议的优势。这意味着第三方和WhatsApp的员工都无法观看您的视频通话。但是与商业应用程序不同，WhatsApp几乎不提供聊天和呼叫安全管理选项，仅提供内置功能。

(2) 漏洞和弊端

就在去年，攻击者通过WhatsApp视频通话分发了Pegasus间谍软件。该漏洞已修复，但请记住，该应用程序并非旨在提供企业级保护，因此，用户应仔细了解网络安全新闻。

7. Zoom

自从去年下半年开始流行以来，云视频会议平台Zoom就一直是新闻焦点。其灵活的定价(最多可容纳100人的40分钟免费会议)和用户友好属性圈粉无数，但4月份该平台曝光的一些安全问题也引起了众多关注。

(1) 安全

Zoom符合SOC 2国际安全标准，为医疗行业提供了单独的HIPAA兼容服务计划，并具有灵活的配置。会话组织者可以阻止参与者，即使他们具有正确的超链接和密码、禁止录制等。如果需要，用户可以设置使任何Zoom流量都不离开公司。

Zoom一直在积极解决已报告的漏洞问题，该公司表示，计划优先考虑产品安全性，而不是添加新功能。

(2) 漏洞和弊端

Zoom声称已经实现了端到端加密，但是这种说法还不够准确。使用端到端加密意味着发件人和收件人都无法读取传输的数据，而Zoom则在其服务器上解密视频数据，而且分发加密密钥的服务器未必在您的属地国家(编者按：根据最新的报道该问题已经解决)。

在Zoom应用程序中发现了多个严重漏洞。据报道，Zoom的Windows和macOS客户端存在一个漏洞(已修复)，该漏洞使黑客能够窃取计算机的账户数据。macOS应用程序中的另外两个漏洞可能会使攻击者完全接管设备。

此外，许多报告显示，不法分子们访问了开放的没有密码保护的Zoom会议，发布可疑的评论并共享包含淫秽内容的屏幕。总体而言，您可以通过正确配置会议来解决此问题，Zoom随后还添加了默认密码保护，以确保安全。

在有关Zoom的安全性问题的消息传出后，Zoom的竞争者们大肆贬低该服务。但是，我们需要清楚所有服务都有漏洞，就Zoom而言，爆炸性增长同时也吸引了极为严苛的安全审查。

总结

总而言之，虽然Zoom、Slack等远程协作应用的漏洞引起大众关注，但事实上产品漏洞是不可避免的，企业对产品安全性的重视表明，在互联网产品功能趋同的今天，安全正在成为产品的核心竞争力之一。但企业也需要明白，正如前文所述，市场上并没有所谓的安全性完美无缺的视频会议应用程序，选择正确的应用程序只是安全远程办公的第一步，你还需要：