En ny Zoom-sårbarhed lækker private data til fremmede

Den igangværende coronavirus-pandemi har virksomheder, der er afhængige af arbejdssamarbejde og videokonferenceapps som Slack og Zoom. Mens Zoom har nydt sin nyfundne berømmelse, har virksomheden også været et mål for angreb og håndterer sårbarheder og sikkerhedsbrud.

Tidligere i dag har vi rapporteret om en sikkerhedssårbarhed, som gør det muligt for alle, du chatter med, at stjæle dine Windows-loginoplysninger. Nu, Vice har udgivet en rapport, der identificerer en anden fejl i Zoom. Ifølge Vice lækker Zoom e-mail-adresser, brugerbilleder og tillader nogle brugere at starte et videoopkald med fremmede. Dette skyldes, hvordan appen håndterer kontakter, som den opfatter arbejde for den samme organisation.

Tilsyneladende har virksomheden en funktion kaldet "Firmakartotek”, der giver brugerne mulighed for at tilføje andre med det samme domæne, så det er nemmere at finde kan ringe til folk. Funktionen var beregnet til at være brugere i en organisation, hvor alle deler det samme domænenavn. Softwaren behandler dog nogle af de private domæner, da de var en del af en virksomhed, og som sådan føjer den tusindvis af tilfældige personer til puljen, som om de alle arbejdede for det samme firma og udsætter deres personlige oplysninger for hinanden.

Brugeren, der tippede Vice om problemet, sagde, at han kunne se deres fulde navne, deres mailadresser, deres profilbillede (hvis de har noget), deres status, og du kan videoopkalde dem. Han bemærkede også, at for at fejlen kan udnyttes, skal en bruger tilmelde sig med en ikke-standard e-mail som xs4all.nl, dds.nl og quicknet.nl. Disse er alle hollandske internetudbydere (ISP'er), som tilbyder e-mail-tjenester.

Problemet ligger i Zooms "Company Directory"-indstilling, som automatisk tilføjer andre personer til en brugers lister over kontakter, hvis de tilmeldte sig med en e-mailadresse, der deler det samme domæne. Det kan gøre det nemmere at finde en bestemt kollega at ringe til, når domænet tilhører en individuel virksomhed. Men flere Zoom-brugere siger, at de tilmeldte sig med personlige e-mailadresser, og Zoom samlede dem sammen med tusindvis af andre mennesker, som om de alle arbejdede for det samme firma, og udsatte deres personlige oplysninger for hinanden.

– Vice

Vice fandt også tilfælde af andre, der klagede over det samme problem på Twitter. Alle brugere loggede ind med hollandske ikke-standardiserede e-mails, og appen antog, at de var en del af virksomheden.

https://twitter.com/JJVLebon/status/1242175850306580486

hollandske internetudbyder XS4ALL tweeted som svar på en klage, "Dette er noget, vi ikke kan deaktivere. Du kan se, om Zoom kan hjælpe dig med dette." En anden hollandsk internetudbyder, DDS, fortalte Vice, at den var opmærksom på problemet, men ikke har hørt noget direkte fra kunderne. Zoom gav på den anden side følgende udtalelse til Vice:

Zoom opretholder en sortliste over domæner og identificerer regelmæssigt proaktivt domæner, der skal tilføjes. Med hensyn til de specifikke domæner, som du fremhævede i din note, er disse nu sortlistet.

- Zoom

Derudover har virksomheden også pegede på et afsnit af hjemmesiden hvor brugere kan anmode om at andre domæner fjernes fra funktionen Firmakatalog. Det er desværre ikke første gang, at virksomheden bliver taget med bukserne nede. Tilbage i 2019 afslørede en forsker en fejl, der gjorde det muligt for hackere at tage kontrol over webcams uden brugerens viden.

tidligere EFF påpegede hvordan værter kan overvåge deltagerne og vide, om et vindue Zoom-vinduet er i fokus eller ej, og hvis brugere optager videoopkaldet, så er Zoom-administratorer i stand til at "få adgang til indholdet af det optagede opkald, inklusive video, lyd, transskription og chatfiler, samt adgang til deling, analyser og skyadministrationsprivilegier”. I sidste uge var Zoom fanget i at dele data med Facebook og lige i går vi dækket Zooms falske påstande om end-to-end-kryptering på gruppeopkald.

Update:

I løbet af de næste 90 dage vil Zoom bruge alle sine ressourcer til bedre at identificere, adressere og løse sikkerheds- og privatlivsproblemer proaktivt. Så Zoom vil ikke tilføje nogen nye funktioner i de næste 3 måneder. Det vil også gennemføre en omfattende gennemgang med tredjepartseksperter og repræsentative brugere for at forstå og sikre sikkerheden af ​​sin tjeneste. Få mere at vide om denne meddelelse link..