En ny Zoom-sårbarhet lekker private data til fremmede

Den pågående koronaviruspandemien gjør at selskaper er avhengige av arbeidssamarbeid og videokonferanseapper som Slack og Zoom. Mens Zoom har gledet seg over sin nyvunne berømmelse, har selskapet også vært et mål for angrep og håndterer sårbarheter og sikkerhetsbrudd.

Tidligere i dag har vi rapportert om et sikkerhetssårbarhet som lar alle du chatter med stjele Windows-påloggingsinformasjonen din. Nå, vice har publisert en rapport som identifiserer en annen feil i Zoom. I følge Vice lekker Zoom e-postadresser, brukerbilder og lar noen brukere starte en videosamtale med fremmede. Dette er på grunn av hvordan appen håndterer kontakter som den oppfatter fungerer for samme organisasjon.

Tilsynelatende har selskapet en funksjon kalt "Bedriftskatalog” som lar brukere legge til andre med samme domene slik at det er lettere å finne kan ringe folk. Funksjonen var ment å være brukere i en organisasjon der alle deler samme domenenavn. Imidlertid behandler programvaren noen av de private domenene ettersom de var en del av et selskap, og som sådan legger den tusenvis av tilfeldige personer til bassenget som om de alle jobbet for det samme selskapet, og eksponerer deres personlige opplysninger for hverandre.

Brukeren som tipset Vice om problemet, sa at han kunne se deres fulle navn, deres e-postadresser, deres profilbilde (hvis de har noe), deres status og at du kan ringe dem med video. Han bemerket også at for at feilen skal kunne utnyttes, må en bruker registrere seg med en ikke-standard e-post som xs4all.nl, dds.nl og quicknet.nl. Dette er alle nederlandske internettleverandører (ISP) som tilbyr e-posttjenester.

Problemet ligger i Zooms "Company Directory"-innstilling, som automatisk legger til andre personer i en brukers lister over kontakter hvis de registrerte seg med en e-postadresse som deler samme domene. Dette kan gjøre det lettere å finne en spesifikk kollega å ringe når domenet tilhører en enkelt bedrift. Men flere Zoom-brukere sier at de registrerte seg med personlige e-postadresser, og Zoom samlet dem sammen med tusenvis av andre mennesker som om de alle jobbet for det samme selskapet, og eksponerte deres personlige opplysninger for hverandre.

– Vice

Vice fant også tilfeller av andre som klaget over det samme problemet på Twitter. Alle brukerne logget på med nederlandsk ikke-standard e-post, og appen antok at de var en del av selskapet.

https://twitter.com/JJVLebon/status/1242175850306580486

Nederlandsk ISP XS4ALL twitret som svar på en klage, "Dette er noe vi ikke kan deaktivere. Du kan se om Zoom kan hjelpe deg med dette.» En annen nederlandsk ISP DDS fortalte Vice at den var klar over problemet, men at de ikke har hørt noe direkte fra kundene. Zoom, på den annen side, ga følgende uttalelse til Vice:

Zoom opprettholder en svarteliste over domener og identifiserer regelmessig proaktivt domener som skal legges til. Når det gjelder de spesifikke domenene du uthevet i notatet ditt, er disse nå svartelistet.

- Zoom

I tillegg har selskapet også pekte på en del av nettstedet hvor brukere kan be om at andre domener fjernes fra funksjonen Firmakatalog. Det er dessverre ikke første gang selskapet blir tatt med buksene nede. Tilbake i 2019 avdekket en forsker en feil som tillot hackere å ta kontroll over webkameraer uten brukerens viten.

Tidligere EFF påpekte hvordan verter kan overvåke deltakerne og vite om et vindu Zoom-vinduet er i fokus eller ikke, og om brukere tar opp videosamtalen, kan Zoom-administratorer "få tilgang til innholdet i den innspilte samtalen, inkludert video, lyd, transkripsjon og chat-filer, samt tilgang til deling, analyser og skyadministrasjonsprivilegier». Forrige uke var Zoom tatt for å dele data med Facebook og i går vi dekket Zooms falske påstander om ende-til-ende-kryptering på gruppesamtaler.

Oppdatering:

I løpet av de neste 90 dagene vil Zoom bruke alle ressursene sine for å bedre identifisere, adressere og fikse sikkerhets- og personvernproblemer proaktivt. Så Zoom vil ikke legge til noen nye funksjoner i løpet av de neste 3 månedene. Den vil også gjennomføre en omfattende gjennomgang med tredjepartseksperter og representative brukere for å forstå og sikre sikkerheten til tjenesten. Finn ut mer om denne kunngjøringen her..