Μια νέα ευπάθεια του Zoom διαρρέει προσωπικά δεδομένα σε αγνώστους

Αρχική » Νέα

Εικονίδιο ώρας ανάγνωσης 4 λεπτό. ανάγνωση

Εικονίδιο ημερολογίου Δημοσιεύθηκε στις

by Anmol Mehrotra 

Δημοσιεύθηκε στις

Μοιραστείτε αυτό το άρθρο

Οι αναγνώστες βοηθούν στην υποστήριξη του MSpoweruser. Ενδέχεται να λάβουμε προμήθεια εάν αγοράσετε μέσω των συνδέσμων μας. Εικονίδιο επεξήγησης εργαλείου

Διαβάστε τη σελίδα αποκάλυψης για να μάθετε πώς μπορείτε να βοηθήσετε το MSPoweruser να διατηρήσει τη συντακτική ομάδα Διάβασε περισσότερα

Zoom

Η συνεχιζόμενη πανδημία του κορωνοϊού έχει τις εταιρείες που βασίζονται σε εφαρμογές συνεργασίας εργασίας και τηλεδιάσκεψης όπως το Slack και το Zoom. Ενώ το Zoom απολαμβάνει τη νέα του φήμη, η εταιρεία έχει επίσης γίνει στόχος επιθέσεων και αντιμετωπίζει τρωτά σημεία και παραβιάσεις ασφάλειας.

Νωρίτερα σήμερα εμείς αναφερθεί σχετικά με μια ευπάθεια ασφαλείας που επιτρέπει σε οποιονδήποτε συνομιλείτε να κλέψει τα διαπιστευτήριά σας σύνδεσης στα Windows. Τώρα, Μέγγενη έχει δημοσιεύσει μια αναφορά που εντοπίζει ένα άλλο ελάττωμα στο Zoom. Σύμφωνα με το Vice, το Zoom διαρρέει διευθύνσεις email, φωτογραφίες χρηστών και επιτρέπει σε ορισμένους χρήστες να πραγματοποιούν βιντεοκλήση με αγνώστους. Αυτό οφείλεται στον τρόπο με τον οποίο η εφαρμογή χειρίζεται τις επαφές που αντιλαμβάνεται ότι λειτουργούν για τον ίδιο οργανισμό.

Προφανώς, η εταιρεία έχει ένα χαρακτηριστικό που ονομάζεται "Κατάλογος Εταιρείας" που επιτρέπει στους χρήστες να προσθέτουν άλλους με τον ίδιο τομέα, ώστε να είναι ευκολότερο να βρεθούν να μπορούν να καλούν άτομα. Η λειτουργία προοριζόταν να είναι χρήστες μέσα σε έναν οργανισμό όπου όλοι μοιράζονται το ίδιο όνομα τομέα. Ωστόσο, το λογισμικό αντιμετωπίζει ορισμένους από τους ιδιωτικούς τομείς ως μέρος μιας εταιρείας και ως εκ τούτου, προσθέτει χιλιάδες τυχαίους ανθρώπους στην ομάδα σαν να εργάζονταν όλοι για την ίδια εταιρεία, εκθέτοντας τα προσωπικά τους στοιχεία ο ένας στον άλλο.

Ο χρήστης που ενημέρωσε το Vice σχετικά με το πρόβλημα είπε ότι μπορούσε να δει τα πλήρη ονόματά του, τις διευθύνσεις αλληλογραφίας του, τη φωτογραφία του προφίλ του (αν έχει), την κατάστασή τους και ότι μπορείτε να τους καλέσετε μέσω βίντεο. Σημείωσε επίσης ότι για να γίνει εκμετάλλευση του σφάλματος, ένας χρήστης πρέπει να εγγραφεί με ένα μη τυπικό email όπως xs4all.nl, dds.nl και quicknet.nl. Αυτοί είναι όλοι οι ολλανδικοί πάροχοι υπηρεσιών διαδικτύου (ISP) που προσφέρουν υπηρεσίες email.

Το πρόβλημα έγκειται στη ρύθμιση "Κατάλογος εταιρειών" του Zoom, η οποία προσθέτει αυτόματα άλλα άτομα στις λίστες επαφών ενός χρήστη εάν έχουν εγγραφεί με μια διεύθυνση email που μοιράζεται τον ίδιο τομέα. Αυτό μπορεί να διευκολύνει την εύρεση ενός συγκεκριμένου συναδέλφου για κλήση όταν ο τομέας ανήκει σε μια μεμονωμένη εταιρεία. Αλλά πολλοί χρήστες του Zoom λένε ότι εγγράφηκαν με προσωπικές διευθύνσεις email και το Zoom τις συγκέντρωσε μαζί με χιλιάδες άλλα άτομα σαν να εργάζονταν όλοι για την ίδια εταιρεία, εκθέτοντας τα προσωπικά τους στοιχεία ο ένας στον άλλο.

– Αντιπρόεδρος

Το Vice βρήκε επίσης περιπτώσεις άλλων που παραπονέθηκαν για το ίδιο θέμα στο Twitter. Όλοι οι χρήστες συνδέθηκαν χρησιμοποιώντας ολλανδικά μη τυπικά email και η εφαρμογή υπέθεσε ότι ήταν μέρος της εταιρείας.

https://twitter.com/JJVLebon/status/1242175850306580486

Ολλανδικός ISP XS4ALL έγραψε στο Twitter ως απάντηση σε μια καταγγελία, «Αυτό είναι κάτι που δεν μπορούμε να απενεργοποιήσουμε. Θα μπορούσατε να δείτε αν το Zoom μπορεί να σας βοηθήσει με αυτό." Ένας άλλος ολλανδικός ISP DDS είπε στο Vice ότι ήταν ενήμερος για το ζήτημα, αλλά δεν είχε ακούσει τίποτα απευθείας από τους πελάτες. Το Zoom, από την άλλη, έδωσε την ακόλουθη δήλωση στο Vice:

Το Zoom διατηρεί μια μαύρη λίστα τομέων και τακτικά προσδιορίζει προληπτικά τους τομείς που θα προστεθούν. Όσον αφορά τους συγκεκριμένους τομείς που επισημάνατε στη σημείωσή σας, αυτοί βρίσκονται πλέον στη μαύρη λίστα.

- Ζουμ

Επιπλέον, η εταιρεία επίσης έδειξε ένα τμήμα του ιστότοπου όπου οι χρήστες μπορούν να ζητήσουν την κατάργηση άλλων τομέων από τη λειτουργία Καταλόγου Εταιρείας. Δυστυχώς δεν είναι η πρώτη φορά που η εταιρεία πιάνεται με κατεβασμένα παντελόνια. Το 2019, ένας ερευνητής αποκάλυψε ένα σφάλμα που επέτρεπε στους χάκερ να αναλάβουν τον έλεγχο των webcam χωρίς τη γνώση του χρήστη.

Νωρίτερα Επεσήμανε το EFF πώς οι οικοδεσπότες μπορούν να παρακολουθούν τους συμμετέχοντες και να γνωρίζουν εάν ένα παράθυρο στο παράθυρο του Zoom είναι εστιασμένο ή όχι και εάν οι χρήστες καταγράφουν τη βιντεοκλήση, τότε οι διαχειριστές του Zoom μπορούν να «έχουν πρόσβαση στα περιεχόμενα αυτής της ηχογραφημένης κλήσης, συμπεριλαμβανομένων βίντεο, ήχου, μεταγραφής και αρχεία συνομιλίας, καθώς και πρόσβαση σε προνόμια κοινής χρήσης, αναλυτικών στοιχείων και διαχείρισης cloud”. Την περασμένη εβδομάδα, το Zoom ήταν συνελήφθη να μοιράζεται δεδομένα με το Facebook και μόλις χθες εμείς καλύπτονται Οι ψευδείς ισχυρισμοί του Zoom σχετικά με την κρυπτογράφηση από άκρο σε άκρο σε ομαδικές κλήσεις.

Ενημέρωση:

Τις επόμενες 90 ημέρες, το Zoom θα χρησιμοποιεί όλους τους πόρους του για να εντοπίζει καλύτερα, να αντιμετωπίζει και να διορθώνει προληπτικά ζητήματα ασφάλειας και απορρήτου. Έτσι, το Zoom δεν θα προσθέσει νέες δυνατότητες τους επόμενους 3 μήνες. Θα διενεργήσει επίσης μια ολοκληρωμένη αναθεώρηση με τρίτους ειδικούς και αντιπροσωπευτικούς χρήστες για να κατανοήσει και να διασφαλίσει την ασφάλεια της υπηρεσίας της. Μάθετε περισσότερα για αυτήν την ανακοίνωση εδώ.

Περισσότερα για τα θέματα: ευπάθεια ασφαλείας, Zoom

Anmol Mehrotra

Anmol Mehrotra Ασπίδα

Android και Windows News Reporter

Η Anmol καλύπτει τα νέα Android και Windows. Είναι συγγραφέας τεχνολογίας με πάνω από μια δεκαετία εμπειρίας.

Αφήστε μια απάντηση

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται *