Новая уязвимость Zoom приводит к утечке личных данных незнакомцам

Продолжающаяся пандемия коронавируса заставляет компании полагаться на приложения для совместной работы и видеоконференций, такие как Slack и Zoom. В то время как Zoom наслаждается своей новообретенной славой, компания также подвергалась атакам и имеет дело с уязвимостями и нарушениями безопасности.

Ранее сегодня мы переправу об уязвимости в системе безопасности, которая позволяет любому, с кем вы общаетесь, украсть ваши учетные данные для входа в Windows. В настоящее время, Заместитель опубликовал отчет, в котором указан еще один недостаток Zoom. По данным Vice, Zoom сливает адреса электронной почты, фотографии пользователей и позволяет некоторым пользователям инициировать видеозвонок с незнакомцами. Это связано с тем, как приложение обрабатывает контакты, которые, по его мнению, работают в одной и той же организации.

Судя по всему, у компании есть фича под названием «Справочник Компании», что позволяет пользователям добавлять других с тем же доменом, чтобы его было легче найти, чтобы звонить людям. Эта функция предназначалась для пользователей внутри организации, где все используют одно и то же доменное имя. Тем не менее, программное обеспечение рассматривает некоторые из частных доменов как часть компании и, таким образом, добавляет тысячи случайных людей в пул, как если бы все они работали в одной компании, раскрывая свою личную информацию друг другу.

Пользователь, который сообщил Vice о проблеме, сказал, что может видеть их полные имена, адреса электронной почты, изображение их профиля (если оно есть), их статус, и вы можете позвонить им по видеосвязи. Он также отметил, что для использования ошибки пользователь должен зарегистрироваться с нестандартным адресом электронной почты, таким как xs4all.nl, dds.nl и quicknet.nl. Это все голландские интернет-провайдеры (ISP), которые предлагают услуги электронной почты.

Проблема заключается в настройке Zoom «Каталог компании», которая автоматически добавляет других людей в списки контактов пользователя, если они зарегистрировались с адресом электронной почты, который находится в том же домене. Это может упростить поиск конкретного коллеги для звонка, когда домен принадлежит отдельной компании. Но несколько пользователей Zoom говорят, что они зарегистрировались с личными адресами электронной почты, и Zoom объединил их вместе с тысячами других людей, как если бы все они работали в одной компании, раскрывая свою личную информацию друг другу.

- вице

Vice также обнаружила случаи, когда другие люди жаловались на ту же проблему в Twitter. Все пользователи вошли в систему, используя нестандартные голландские адреса электронной почты, и приложение предположило, что они являются частью компании.

https://twitter.com/JJVLebon/status/1242175850306580486

Голландский интернет-провайдер XS4ALL твит в ответ на жалобу, «Это то, что мы не можем отключить. Вы могли видеть, может ли Zoom помочь вам в этом». Другой голландский интернет-провайдер DDS сообщил Vice, что знал об этой проблеме, но ничего не слышал напрямую от клиентов. Zoom, с другой стороны, сделал следующее заявление Vice:

Zoom ведет черный список доменов и регулярно идентифицирует домены, которые необходимо добавить. Что касается конкретных доменов, которые вы выделили в своей заметке, то они теперь занесены в черный список.

- Увеличить

Кроме того, компания также указал на раздел сайта где пользователи могут запросить удаление других доменов из функции каталога компании. К сожалению, это не первый случай, когда компанию ловят со спущенными штанами. Еще в 2019 году исследователь обнаружил ошибку, которая позволяла хакерам получать контроль над веб-камерами без ведома пользователя.

Ранее EFF указал как организаторы могут следить за участниками и знать, находится ли окно Zoom в фокусе или нет, и если пользователи записывают видеовызов, то администраторы Zoom могут «получить доступ к содержимому этого записанного вызова, включая видео, аудио, расшифровку и файлы чата, а также доступ к совместному использованию, аналитике и привилегиям управления облаком». На прошлой неделе Zoom был пойман на обмене данными с Facebook и только вчера мы покрытый Поддельные заявления Zoom о сквозном шифровании групповых вызовов.

Обновление:

В течение следующих 90 дней Zoom будет использовать все свои ресурсы для более эффективного выявления, решения и устранения проблем безопасности и конфиденциальности. Таким образом, Zoom не будет добавлять новые функции в ближайшие 3 месяца. Он также проведет всестороннюю проверку со сторонними экспертами и репрезентативными пользователями, чтобы понять и обеспечить безопасность своего сервиса. Узнать больше об этом объявлении здесь.