새로운 Zoom 취약점이 낯선 사람에게 개인 데이터를 유출하고 있습니다.
4 분. 읽다
에 게시됨
이 기사 공유
이 가이드를 개선하세요
공개 페이지를 읽고 MSPoweruser가 편집팀을 유지하는 데 어떻게 도움을 줄 수 있는지 알아보세요. 자세히 보기
진행중인 코로나 바이러스 전염병으로 인해 회사는 Slack 및 Zoom과 같은 작업 협업 및 화상 회의 앱에 의존하고 있습니다. Zoom이 새로운 명성을 누리고 있는 동안 이 회사도 공격의 대상이 되어 취약성과 보안 침해에 대처하고 있습니다.
오늘 일찍 우리는 신고 채팅을 하는 모든 사람이 Windows 로그인 자격 증명을 도용할 수 있는 보안 취약점에 대해 설명합니다. 지금, 바이스 Zoom의 또 다른 결함을 식별하는 보고서를 발표했습니다. Vice에 따르면 Zoom은 이메일 주소, 사용자 사진을 유출하고 있으며 일부 사용자는 낯선 사람과 화상 통화를 시작할 수 있도록 허용하고 있습니다. 이는 앱이 동일한 조직에 대한 작업으로 인식하는 연락처를 처리하는 방식 때문입니다.
분명히 회사에는 "회사 디렉토리"를 사용하면 사용자가 동일한 도메인을 가진 다른 사용자를 추가하여 찾기가 더 쉽게 사람들에게 전화를 걸 수 있습니다. 이 기능은 모든 사람이 동일한 도메인 이름을 공유하는 조직 내부의 사용자를 위한 것이었습니다. 그러나 소프트웨어는 일부 개인 도메인을 회사의 일부로 취급하므로 수천 명의 임의의 사람들이 마치 같은 회사에서 일하는 것처럼 풀에 추가되어 개인 정보가 서로 노출됩니다.
이 문제에 대해 Vice에 알린 사용자는 이름, 메일 주소, 프로필 사진(있는 경우), 상태를 볼 수 있으며 화상 통화를 할 수 있다고 말했습니다. 그는 또한 버그가 악용되려면 사용자가 xs4all.nl, dds.nl 및 quicknet.nl과 같은 비표준 이메일로 가입해야 한다고 언급했습니다. 이들은 모두 이메일 서비스를 제공하는 네덜란드 인터넷 서비스 제공업체(ISP)입니다.
문제는 동일한 도메인을 공유하는 이메일 주소로 가입한 다른 사람들을 사용자의 연락처 목록에 자동으로 추가하는 Zoom의 "회사 디렉토리" 설정에 있습니다. 이렇게 하면 도메인이 개별 회사에 속할 때 전화할 특정 동료를 더 쉽게 찾을 수 있습니다. 그러나 다수의 줌 사용자들은 개인 이메일 주소로 가입했다고 하는데, 줌은 이를 마치 같은 회사에서 일하는 것처럼 수천 명의 다른 사람들과 함께 모아서 개인 정보를 서로에게 노출시킨다.
– 바이스
Vice는 트위터에서 같은 문제에 대해 불평하는 다른 사람들의 사례도 발견했습니다. 모든 사용자는 네덜란드 비표준 이메일을 사용하여 로그인했으며 앱은 그들이 회사의 일부라고 가정했습니다.
https://twitter.com/JJVLebon/status/1242175850306580486
네덜란드 ISP XS4ALL 불만에 대한 응답으로 트윗, “이것은 우리가 비활성화할 수 없는 것입니다. Zoom이 이를 도와줄 수 있는지 알 수 있습니다.” 다른 네덜란드 ISP DDS는 이 문제에 대해 알고 있지만 고객으로부터 직접 들은 바는 없다고 Vice에 말했습니다. 반면 Zoom은 Vice에게 다음과 같은 성명을 발표했습니다.
Zoom은 도메인의 블랙리스트를 유지 관리하고 정기적으로 추가할 도메인을 사전에 식별합니다. 메모에서 강조표시한 특정 도메인과 관련하여 현재 블랙리스트에 올라 있습니다.
– 줌
또한, 회사는 또한 웹사이트의 한 부분을 가리켰다 여기서 사용자는 회사 디렉토리 기능에서 다른 도메인을 제거하도록 요청할 수 있습니다. 불행히도 회사가 바지를 내린 것은 이번이 처음이 아닙니다. 2019년에 한 연구원은 해커가 사용자 모르게 웹캠을 제어할 수 있는 버그를 발견했습니다.
이전 EFF가 지적한 호스트가 참가자를 모니터링하고 창이 Zoom 창에 포커스가 있는지 여부와 사용자가 화상 통화를 녹음하는 경우 Zoom 관리자가 "비디오, 오디오, 스크립트 및 채팅 파일은 물론 공유, 분석 및 클라우드 관리 권한에 대한 액세스". 지난주 Zoom은 페이스북과 데이터 공유하다 적발 그리고 어제 우리는 적용 그룹 통화에 대한 종단 간 암호화에 대한 Zoom의 가짜 주장.
업데이트 :
향후 90일 동안 Zoom은 모든 리소스를 사용하여 보안 및 개인 정보 보호 문제를 사전에 더 잘 식별, 해결 및 수정할 것입니다. 따라서 Zoom은 앞으로 3개월 동안 새로운 기능을 추가하지 않을 것입니다. 또한 서비스의 보안을 이해하고 보장하기 위해 제XNUMX자 전문가 및 대표 사용자와 함께 포괄적인 검토를 수행합니다. 이 발표에 대해 자세히 알아보기 여기에서 지금 확인해 보세요..
