Nová zranitelnost Zoom je únik soukromých dat k cizím lidem

Probíhající pandemie koronaviru má společnosti, které spoléhají na aplikace pro pracovní spolupráci a videokonference, jako je Slack a Zoom. Zatímco se Zoom těší ze své nově nabyté slávy, společnost se také stala terčem útoků a vypořádává se se zranitelností a narušením bezpečnosti.

Dnes dříve my hlášeny o bezpečnostní chybě, která umožňuje komukoli, s kým chatujete, ukrást vaše přihlašovací údaje do systému Windows. Nyní, Svěrák zveřejnila zprávu, která identifikuje další chybu v Zoomu. Podle Vice Zoom uniká e-mailové adresy, uživatelské fotografie a umožňuje některým uživatelům zahájit videohovor s cizími lidmi. Je to kvůli tomu, jak aplikace zachází s kontakty, které považuje za fungující pro stejnou organizaci.

Společnost má zjevně funkci nazvanou „Adresář společnosti” který umožňuje uživatelům přidávat další se stejnou doménou, takže je snazší je najít a volat lidem. Tato funkce byla určena pro uživatele v rámci organizace, kde všichni sdílejí stejný název domény. Software však s některými soukromými doménami zachází, jako by byly součástí společnosti, a jako takové přidává do fondu tisíce náhodných lidí, jako by všichni pracovali pro stejnou společnost, a vzájemně si vystavují své osobní údaje.

Uživatel, který dal Vice na tento problém tip, řekl, že vidí jejich celá jména, jejich e-mailové adresy, jejich profilový obrázek (pokud nějaký má), jejich stav a můžete mu zavolat přes video. Poznamenal také, že aby byla chyba zneužita, musí se uživatel zaregistrovat pomocí nestandardního e-mailu, jako je xs4all.nl, dds.nl a quicknet.nl. Toto jsou všichni nizozemští poskytovatelé internetových služeb (ISP), kteří nabízejí e-mailové služby.

Problém spočívá v nastavení „Company Directory“ aplikace Zoom, které automaticky přidává další lidi do seznamů kontaktů uživatele, pokud se zaregistrovali pomocí e-mailové adresy, která sdílí stejnou doménu. To může usnadnit nalezení konkrétního kolegu, kterému chcete zavolat, když doména patří jednotlivé společnosti. Několik uživatelů Zoomu však uvedlo, že se zaregistrovali pomocí osobních e-mailových adres a Zoom je shromáždil s tisíci dalších lidí, jako by všichni pracovali pro stejnou společnost, a vzájemně si vystavovali své osobní údaje.

– Zástupce

Vice také na Twitteru našel případy, kdy si ostatní stěžovali na stejný problém. Všichni uživatelé se přihlásili pomocí holandských nestandardních e-mailů a aplikace předpokládala, že jsou součástí společnosti.

https://twitter.com/JJVLebon/status/1242175850306580486

Holandský ISP XS4ALL tweetoval v reakci na stížnost„Toto je něco, co nemůžeme deaktivovat. Mohl bys zjistit, jestli ti s tím Zoom může pomoci.“ Jiný nizozemský ISP DDS řekl Vice, že o problému věděl, ale přímo od zákazníků nic neslyšel. Zoom na druhou stranu dal Viceovi následující prohlášení:

Zoom udržuje černou listinu domén a pravidelně proaktivně identifikuje domény, které mají být přidány. Pokud jde o konkrétní domény, které jste ve své poznámce zvýraznili, jsou nyní na černé listině.

- Zvětšení

Navíc společnost také ukázal na sekci webu kde uživatelé mohou požádat o odebrání jiných domén z funkce Adresář společnosti. Bohužel to není poprvé, co byla společnost přistižena se staženými kalhotami. V roce 2019 výzkumník odhalil chybu, která hackerům umožňovala převzít kontrolu nad webovými kamerami bez vědomí uživatele.

Dříve EFF upozornil jak mohou hostitelé sledovat účastníky a vědět, zda je okno Zoom okno zaostřené nebo ne a zda uživatelé nahrávají videohovor, pak mohou administrátoři Zoomu „přistupovat k obsahu tohoto nahraného hovoru, včetně videa, zvuku, přepisu a chatovací soubory a také přístup ke sdílení, analýze a oprávněním správy cloudu“. Minulý týden byl Zoom zachyceno sdílení dat s Facebookem a my zrovna včera pokrytý Falešná tvrzení Zoomu o end-to-end šifrování u skupinových hovorů.

aktualizace:

Během následujících 90 dnů bude Zoom využívat všechny své zdroje k tomu, aby lépe identifikoval, řešil a proaktivně opravoval problémy se zabezpečením a soukromím. Zoom tedy nebude v příštích 3 měsících přidávat žádné nové funkce. Provede také komplexní kontrolu s odborníky třetích stran a zastupujícími uživateli, aby pochopili a zajistili bezpečnost svých služeb. Další informace o tomto oznámení zde.