网络安全研究公司Check Point research在今天发布的一份报告中称，该公司发现视频会议平台Zoom存在安全缺陷，可能会允许潜在黑客在未经邀请的情况下加入视频会议并进行监听，从而有可能访问会议期间共享的任何文件或信息。尽管Zoom已经解决了这个问题，但该报告对需要使用麦克风和摄像头的视频会议应用程序的安全性提出了更深层次的担忧。

每个Zoom调用都有一个随机生成的ID号，长度在9到11位之间，参与者使用它作为一种地址来定位和加入特定的调用。Check Point的网络研究主管Yaniv Balmas说，Check Point的研究人员发现了一种方法，可以在大约4%的时间里预测哪些会议是有效的，并且能够加入一些会议。（巴尔马斯强调，他们自己并没有投入到会议中。相反，他们在“等候室”屏幕上结束了通话。）

“这有点像缩放轮盘赌，”巴尔马斯告诉《边缘报》。“这意味着，如果您正在进行视频聊天，并且有多个成员加入，您可能不会注意到不应该在那里的人是否坐在那里听您讲话。”

由于Zoom电话会议可以容纳“数万”与会者参加一次会议，根据该公司5月份的IPO，如果没有采取筛选措施，攻击者就不难在未经通知的情况下潜入Zoom电话会议。

检查点未找到将缩放会议ID与特定用户连接的方法。因此，即使一个糟糕的演员获得了一个随机会议的机会，他们也不一定在加入电话之前知道是谁的会议。研究人员没有发现，一个人进入一个变焦会议将访问其他用户的相机或麦克风。

checkpoint披露了Zoom的漏洞，并表示该公司很快做出反应，解决了这个问题。它用一个“加密性强”的会议ID号取代了随机生成的会议ID号，为会议ID号添加了更多的数字，并将需要密码作为未来会议的默认设置。（不过，一个带有检查点的Zoom电话讨论研究时，我并不需要在加入之前输入密码。）

不再可能像检查点研究人员那样扫描随机会议ID；每次尝试加入都会加载一个会议页面，重复尝试扫描会议ID将暂时阻止该设备进入平台。

Zoom的一位发言人说，这个问题的检查点已于8月份得到解决，并补充说，用户的隐私和安全是其首要任务。“我们感谢CheckPoint团队与我们分享他们的研究成果和合作，”该公司表示。

总部位于圣何塞的Zoom成立于2011年，市值略低于200亿美元，客户遍布180多个国家。该公司在上个月发布的第三季度财报中表示，其客户群包括7.4万家规模可观的企业，按拥有10名以上员工的企业计算。

去年夏天，安全研究员Jonathan leitschhuh在Macs上发现了一个Zoom的零日漏洞，这个漏洞可能会让一个坏演员劫持用户的相机和直播。该公司最终停止使用造成该漏洞的本地web服务器，但在第一次将其作为“低风险”情况进行辩护之后就没有了。

巴尔马斯说，CheckPoint的研究人员专门关注Zoom及其会议ID号码，并没有调查该漏洞是否会出现在其他视频聊天程序中，如Google Hangouts或Skype。但他提醒说，任何视频会议平台都存在固有风险，即使用户采取了必要的安全防范措施。

他说：“我们没有研究（其他视频会议平台），但我们在这里发现的是对他们的一种呼喊。”。“您必须注意这些事情，注意未经授权的用户可以访问的方式，注意任何可以访问您的麦克风或相机的应用程序。”