Nová zraniteľnosť Zoomu uvoľňuje súkromné ​​údaje neznámym ľuďom

Prebiehajúca pandémia koronavírusu prinútila spoločnosti, ktoré sa spoliehajú na pracovné aplikácie a aplikácie na videokonferencie, ako sú Slack a Zoom. Zatiaľ čo si Zoom užíval svoju novonadobudnutú slávu, spoločnosť bola tiež terčom útokov a riešila slabé miesta a narušenia bezpečnosti.

Dnes skôr my hlásené o bezpečnostnej chybe, ktorá umožňuje komukoľvek, s kým chatujete, ukradnúť vaše prihlasovacie údaje do systému Windows. teraz Svěrák zverejnila správu, ktorá identifikuje ďalšiu chybu v Zoom. Podľa Vice Zoom uniká e-mailové adresy, fotografie používateľov a umožňuje niektorým používateľom začať videohovor s cudzími ľuďmi. Je to kvôli tomu, ako aplikácia narába s kontaktmi, ktoré podľa nej fungujú pre rovnakú organizáciu.

Zdá sa, že spoločnosť má funkciu s názvom „Adresár spoločnosti“, ktorý umožňuje používateľom pridať ďalších používateľov s rovnakou doménou, aby bolo možné ich ľahšie nájsť a volať ľuďom. Táto funkcia bola určená pre používateľov v rámci organizácie, kde všetci zdieľajú rovnaký názov domény. Softvér však zaobchádza s niektorými súkromnými doménami, ako keby boli súčasťou spoločnosti, a ako také pridáva do skupiny tisíce náhodných ľudí, ako keby všetci pracovali pre rovnakú spoločnosť, pričom si navzájom odhaľujú svoje osobné informácie.

Používateľ, ktorý dal Vice tip na tento problém, povedal, že vidí ich celé mená, ich e-mailové adresy, ich profilový obrázok (ak nejaký má), ich stav a môžete s ním zavolať cez videohovor. Poznamenal tiež, že na zneužitie chyby sa používateľ musí zaregistrovať pomocou neštandardného e-mailu ako xs4all.nl, dds.nl a quicknet.nl. Toto sú všetci holandskí poskytovatelia internetových služieb (ISP), ktorí ponúkajú e-mailové služby.

Problém spočíva v nastavení „Adresár spoločnosti“ v aplikácii Zoom, ktoré automaticky pridáva ďalších ľudí do zoznamov kontaktov používateľa, ak sa zaregistrovali s e-mailovou adresou, ktorá zdieľa rovnakú doménu. To môže uľahčiť nájdenie konkrétneho kolegu, ktorému chcete zavolať, keď doména patrí konkrétnej spoločnosti. Viacerí používatelia Zoom však tvrdia, že sa prihlásili pomocou osobných e-mailových adries a Zoom ich spojil s tisíckami ďalších ľudí, ako keby všetci pracovali pre rovnakú spoločnosť, pričom si navzájom vystavovali svoje osobné údaje.

– Vice

Vice tiež našiel prípady, keď sa iní sťažovali na rovnaký problém na Twitteri. Všetci používatelia sa prihlásili pomocou holandských neštandardných e-mailov a aplikácia predpokladala, že sú súčasťou spoločnosti.

https://twitter.com/JJVLebon/status/1242175850306580486

Holandský ISP XS4ALL tweetoval ako odpoveď na sťažnosť„Toto je niečo, čo nemôžeme deaktivovať. Mohli by ste vidieť, či vám s tým Zoom môže pomôcť.“ Iný holandský ISP DDS povedal Vice, že o probléme vedel, ale nepočul nič priamo od zákazníkov. Zoom na druhej strane dal Viceovi nasledujúce vyhlásenie:

Zoom udržiava čierny zoznam domén a pravidelne proaktívne identifikuje domény, ktoré sa majú pridať. Pokiaľ ide o konkrétne domény, ktoré ste zvýraznili vo svojej poznámke, tieto sú teraz na čiernej listine.

- Zoom

Okrem toho aj spoločnosť ukázal na časť webovej stránky kde používatelia môžu požiadať o odstránenie iných domén z funkcie Adresár spoločnosti. Bohužiaľ to nie je prvýkrát, čo bola spoločnosť prichytená so stiahnutými nohavicami. V roku 2019 výskumník odhalil chybu, ktorá umožnila hackerom prevziať kontrolu nad webovými kamerami bez vedomia používateľa.

Predtým EFF upozornil ako môžu hostitelia monitorovať účastníkov a vedieť, či je okno v okne Zoom zaostrené alebo nie a či používatelia zaznamenajú videohovor, potom môžu správcovia Zoomu „pristupovať k obsahu tohto zaznamenaného hovoru vrátane videa, zvuku, prepisu a chatové súbory, ako aj prístup k oprávneniam na zdieľanie, analytiku a správu cloudu“. Minulý týždeň bol Zoom prichytený pri zdieľaní údajov s Facebookom a my sme práve včera pokrytý Falošné tvrdenia spoločnosti Zoom o end-to-end šifrovaní pri skupinových hovoroch.

Update:

Počas nasledujúcich 90 dní bude spoločnosť Zoom využívať všetky svoje zdroje na lepšie identifikovanie, riešenie a proaktívne riešenie problémov so zabezpečením a ochranou súkromia. Zoom teda počas nasledujúcich 3 mesiacov nepridá žiadne nové funkcie. Taktiež vykoná komplexnú kontrolu s odborníkmi tretích strán a zástupcami používateľov, aby pochopili a zaistili bezpečnosť svojich služieb. Zistite viac o tomto oznámení tu.