ZoomMeetingsサービスで見つかったもうXNUMXつの主要なセキュリティ問題

コロナウイルスの大流行によりZoomの使用が増加していますが、同社はユーザーのプライバシーを維持するのに苦労しています。 しかし、会社は多くのことに直面しています バックラッシュ 顧客のプライバシーを真剣に受け止めていないため、会社は 機能リリースをフリーズする 90 日間、終わりのない脆弱性リストにパッチを適用します。 XNUMX 月初旬に、ユーザーの認証情報がダークウェブ上のハッカーによってどのように販売されたかを報告しました。同社はXNUMX月下旬、セキュリティ問題に対処するための新しいアップデートをリリースした。

本日、セキュリティ研究者のTom Anthonyが、Zoomに重大なセキュリティの脆弱性を公開しました。 このエクスプロイトを使用すると、誰でもパスワードで保護されたZoom会議に参加できます。 ズーム会議は、デフォルトで6桁の数字のパスワードで保護されています。 したがって、1万の異なるパスワードの可能性があります。 トムは、Zoom Webクライアントを使用すると、会議の試行回数に制限がなく、誰でも会議のパスワードが正しいかどうかを確認できることを発見しました。 したがって、攻撃者は小さなPythonコードを記述して、1万個のパスワードをすべて試し、数分で正しいパスワードを見つけることができます。

Tomがこの問題をZoomに報告した後、ZoomWebクライアントはオフラインになりました。 Zoomは、Webクライアントで会議に参加するためにユーザーのログインを要求することと、デフォルトの会議パスワードを数値以外のより長いものに更新することの両方によって、問題を軽減しました。 この問題は修正されましたが、次のような厄介な問題が発生します。

攻撃者がすでにこの脆弱性を使用して他の人の呼び出し（政府の会議など）をリッスンしていたかどうか。

アップデート： ズームのスポークスマンは、セキュリティの問題に関して次のように述べています。

「1月9日にこの問題を知ったとき、軽減策を実装している間、ユーザーのセキュリティを確保するために、ZoomWebクライアントをすぐに停止しました。 その後、レート制限を改善し、CSRFトークンの問題に対処し、XNUMX月XNUMX日にWebクライアントを再起動しました。 これらの修正により、問題は完全に解決され、ユーザーの操作は必要ありませんでした。 このエクスプロイトが実際に使用されている例はありません。 この問題に注意を向けてくれたTomAnthonyに感謝します。 Zoom製品のセキュリティ上の問題を発見したと思われる場合は、詳細なレポートをに送信してください。 [メール保護]に設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」

情報源： トム・アンソニー