Toinen suuri tietoturvaongelma löydettiin Zoom-kokouspalvelusta

Etusivu » uutiset

Lukuajan kuvake 2 min. lukea

Kalenterikuvake Päivitetty

by Pradeep Viswav 

päivitetty

Jaa tämä artikkeli

Lukijat auttavat tukemaan MSpoweruseria. Saatamme saada palkkion, jos ostat linkkien kautta. Työkaluvihje-kuvake

Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää

zoomaus

Koronaviruspandemian vuoksi Zoomin käyttö on lisääntynyt, mutta yritys on kamppaillut käyttäjien yksityisyyden säilyttämiseksi. Yhtiö on kuitenkin kohdannut paljon takaisku siitä, että ei otettu asiakkaiden yksityisyyttä vakavasti, mikä pakotti yrityksen siihen jäädyttää ominaisuuden julkaisut 90 päivän ajan loputtoman luettelon haavoittuvuuksista korjaamiseksi. Huhtikuun alussa raportoimme, kuinka hakkerit myivät käyttäjien tunnistetietoja pimeässä verkossa. Huhtikuun lopulla yhtiö julkaisi uuden päivityksen tietoturvaongelmien ratkaisemiseksi.

Tänään tietoturvatutkija Tom Anthony julkaisi tärkeän tietoturvahaavoittuvuuden Zoomissa. Tämän hyväksikäytön avulla kuka tahansa voi liittyä salasanasuojattuun Zoom-kokoukseen. Zoom-kokoukset on oletuksena suojattu 6-numeroisella numeerisella salasanalla. On siis mahdollista saada miljoona erilaista salasanaa. Tom havaitsi, että Zoom-verkkoasiakasohjelma salli kenen tahansa tarkistaa, onko kokouksen salasana oikea ilman yritysmääriä. Hyökkääjä voi siis kirjoittaa pienen Python-koodin kokeillakseen kaikkia miljoona salasanaa ja löytääkseen oikean salasanan muutamassa minuutissa.

Kun Tom ilmoitti tästä ongelmasta Zoomille, Zoom-verkkoasiakasohjelma meni offline-tilaan. Zoom lievensi ongelmaa vaatimalla käyttäjän kirjautumista kokouksiin liittymiseen verkkoasiakasohjelmassa ja päivittämällä kokousten oletussalasanat ei-numeerisiksi ja pidemmiksi. Vaikka ongelma on nyt korjattu, se herättää seuraavan huolestuttavan kysymyksen.

Käyttivätkö hyökkääjät jo tätä haavoittuvuutta kuunnellakseen muiden ihmisten puheluita (esim. hallituksen kokouksia).

Päivitys: Zoomin tiedottaja antoi seuraavan lausunnon tietoturvaongelmasta.

"Kun saimme tiedon tästä ongelmasta 1. huhtikuuta, poistimme Zoom-verkkoasiakkaan välittömästi varmistaaksemme käyttäjiemme turvallisuuden, kun toteutimme lievennyksiä. Olemme sittemmin parantaneet nopeusrajoitusta, käsitelleet CSRF-tunnusongelmat ja käynnistäneet verkkoasiakasohjelman uudelleen 9. huhtikuuta. Näiden korjausten avulla ongelma ratkesi täysin, eikä käyttäjän toimenpiteitä vaadittu. Emme ole tietoisia tapauksista, joissa tätä hyväksikäyttöä olisi käytetty luonnossa. Kiitämme Tom Anthonya, että hän kiinnitti tämän ongelman tietoomme. Jos uskot löytäneesi tietoturvaongelman Zoom-tuotteista, lähetä yksityiskohtainen raportti osoitteeseen [sähköposti suojattu]"

Lähde: Tom Anthony

Pradeep Viswav

Pradeep Viswav Shield

Ohjelmisto- ja palveluasiantuntija

Pradeep on tietojenkäsittelytieteen ja tekniikan tutkinnon suorittanut. Hän oli myös Microsoft Student Partner. Tällä hetkellä hän työskentelee johtavassa IT-yrityksessä.

Käyttäjäfoorumi

0-viestit