由于COVID-19大流行迫使学校,大学和企业限制了面对面的会议,因此世界迅速采用了Zoom和Google Meet等服务的视频会议。反过来,这让位于" zoombombing" Internet巨魔何时加入在线会议的目的,目的是破坏它们并骚扰他们的参与者。会议服务已采取了多种对策,但一份新的研究论文发现,其中大多数无效。
最常用的对策包括:使用会议保护密码,使用候诊室,以便会议组织者可以在允许人员参加之前审核人员,并建议与会人员不要在公共论坛上发布会议链接。
这些方法的问题在于它们采用了错误的威胁模型。例如,一种普遍的假设是,骚扰是由不愿透露细节的局外人组织的。波士顿大学和纽约州立大学宾汉顿分校的研究人员研究了去年头七个月在社交媒体上发布的炸弹袭击电话,发现在大多数情况下并非如此。
我们的研究结果表明,绝大多数要求进行炸弹爆炸的呼叫不是由袭击者绊脚石开会邀请或残酷地使用其会议ID,而是由具有合法权限参加这些会议的内部人员(尤其是高中和大学班级的学生)发出的。这具有重要的安全意义,因为它使防止缩放炸弹的通用保护(例如密码保护)无效。我们还发现了一些内部人员实例,它们指示攻击者在课堂上采用合法参与者的姓名以避免被发现,从而使诸如设置候车室和审查参与者等对策无效。基于这些观察结果,我们认为针对缩放爆炸的唯一有效防御措施是为每个参与者创建唯一的联接链接。
Zoombombing一直是学校,大学和其他采用视频会议的团体的关注点。例如,在八月份的法庭听证会上,一名佛罗里达青少年被指控黑客入侵Twitter,zoombombers中断了诉讼程序以投掷种族诽谤并展示色情视频。在不请自来的参与者向全班展示自己的兴趣之后,一场来自佛罗里达州奥兰治县公立学校系统的学生参加的Zoom会议被打乱了。此类事件引起的愤慨促使在线会议服务采取旨在抵制骚扰的措施。许多出版物(包括Ars)也提供了帖子,说明会议组织者如何防止缩放炸弹。这些措施的问题在于,当由有权参加会议的内部人员组织缩放爆炸时,这些措施将无法正常工作或根本无法工作。有权参加会议的任何人显然都将具有会议密码,然后可以与他人共享。
要求参与者在参加会议之前要在候诊室进行审核只会稍微有效一点,因为“内部人员经常与潜在的攻击者共享其他信息,例如,指示他们选择与会议中合法参与者相对应的名称,”研究人员写道。 “这降低了候诊室的效率,因为这会使主持人和主持人更难识别入侵者。”
更重要的是,在不接纳人员之前对人员进行审核通常无法适应与大量用户举行的会议,因此对于许多人来说,这种选择是不可行的。
另一半措施是为每个参与者提供唯一的链接。如果会议服务仍然允许多个人加入同一链接,它不会停止zoombombing。但这确实可以帮助组织者更容易地识别向外部人提供链接的内部人员。
更好的缓解方法是允许每个参与者使用个性化会议链接加入。这样,只要内部人员加入会议,未经授权的人将无法使用同一链接加入。尽管此缓解措施无法实现缩放炸弹,但并非所有会议服务都采用了这种方法。在撰写本文时,只有Zoom和Webex允许每个参与者的链接,这些链接允许单个用户同时加入。为此,Zoom需要参与者进行登录,并检查唯一链接是否与作为日历邀请发送到该电子邮件地址的唯一链接相同。我们鼓励其他会议平台采取类似的访问控制措施,以保护其会议不受内部威胁。
我们已经深深爆冷听到这些类型的事件,并放大强烈谴责这种行为。会议注册打开时,Zoom提供了独特的链接功能。我们最近还更新了许多默认设置并添加了功能,以帮助主持人更轻松地访问会议中的安全控件,包括控制屏幕共享,删除和报告与会人员以及锁定会议等。我们还一直在教育用户有关设置会议的安全性最佳做法,包括要求注册,仅允许访问经过身份验证的用户以及防止参与者重命名自己。我们鼓励主持大型或公共活动的任何人使用Zoom的网络研讨会解决方案。我们非常重视会议中断,我们鼓励用户将此类事件报告给Zoom和执法部门,以便对违法者采取适当的措施。
研究人员说,他们的工作是对社交媒体上进行的炸弹袭击的呼吁进行的首次数据驱动分析。鉴于对视频会议的持续和日益增长的依赖,这不太可能是最后一次。