Nova ranljivost Zooma pušča zasebne podatke neznancem

Zaradi nenehne pandemije koronavirusa se podjetja zanašajo na delovno sodelovanje in aplikacije za videokonference, kot sta Slack in Zoom. Medtem ko Zoom uživa novo pridobljeno slavo, je bilo podjetje tudi tarča napadov in se spopada z ranljivostmi in varnostnimi kršitvami.

Prej danes smo poročali o varnostni ranljivosti, ki omogoča vsakomur, s katerim klepetate, da ukrade vaše poverilnice za prijavo v Windows. zdaj, Podpredsednik je objavil poročilo, ki opredeljuje še eno napako v Zoomu. Po mnenju Vice Zoom razkriva e-poštne naslove, uporabniške fotografije in nekaterim uporabnikom omogoča, da začnejo video klic z neznanci. To je posledica tega, kako aplikacija obravnava stike, za katere meni, da delajo za isto organizacijo.

Očitno ima podjetje funkcijo, imenovano "Imenik podjetij«, ki uporabnikom omogoča, da dodajo druge z isto domeno, tako da jih je lažje najti, da lahko pokličejo ljudi. Funkcija je bila mišljena kot uporabniki znotraj organizacije, kjer si vsi delijo isto ime domene. Vendar pa programska oprema obravnava nekatere zasebne domene, kot da so bile del podjetja, in kot taka v skupino dodaja na tisoče naključnih ljudi, kot da bi vsi delali za isto podjetje, pri čemer izpostavljajo svoje osebne podatke drug drugemu.

Uporabnik, ki je Vice namigoval o težavi, je rekel, da lahko vidi njihova polna imena, njihove e-poštne naslove, njihovo profilno sliko (če jo ima), njihov status in jih lahko pokličeš prek video klica. Opozoril je tudi, da se mora uporabnik za izkoriščanje hrošča prijaviti z nestandardno e-pošto, kot so xs4all.nl, dds.nl in quicknet.nl. To so vsi nizozemski ponudniki internetnih storitev (ISP), ki ponujajo e-poštne storitve.

Težava je v nastavitvi »Imenik podjetij« Zooma, ki samodejno doda druge ljudi na sezname uporabnikovih stikov, če so se prijavili z e-poštnim naslovom, ki si deli isto domeno. Tako lahko lažje najdete določenega sodelavca, ki ga lahko pokličete, ko domena pripada posameznemu podjetju. Toda več uporabnikov Zooma pravi, da so se prijavili z osebnimi e-poštnimi naslovi, Zoom pa jih je združil skupaj s tisoči drugih ljudi, kot da bi vsi delali za isto podjetje, pri čemer so drug drugemu izpostavili svoje osebne podatke.

– Zameg

Vice je na Twitterju našel tudi primere, ko so se drugi pritoževali zaradi iste težave. Vsi uporabniki so se prijavili z nizozemskimi nestandardnimi e-poštnimi sporočili in aplikacija je domnevala, da so del podjetja.

https://twitter.com/JJVLebon/status/1242175850306580486

Nizozemski ponudnik internetnih storitev XS4ALL je tvitnil kot odgovor na pritožbo, »To je nekaj, česar ne moremo onemogočiti. Lahko bi videli, če vam lahko Zoom pomaga pri tem." Drugi nizozemski ponudnik internetnih storitev DDS je za Vice povedal, da je seznanjen s težavo, vendar ni slišal ničesar neposredno od strank. Zoom pa je za Vice podal naslednjo izjavo:

Zoom vzdržuje črni seznam domen in redno proaktivno identificira domene, ki jih je treba dodati. Kar zadeva posebne domene, ki ste jih poudarili v svojem zapisku, so te zdaj na črnem seznamu.

- Povečaj

Poleg tega tudi podjetje opozoril na del spletnega mesta kjer lahko uporabniki zahtevajo odstranitev drugih domen iz funkcije imenika podjetja. Žal to ni prvič, da so podjetje ujeli s spuščenimi hlačami. Leta 2019 je raziskovalec odkril napako, ki je hekerjem omogočila, da prevzamejo nadzor nad spletnimi kamerami brez vednosti uporabnika.

prej Je poudaril EFF kako lahko gostitelji spremljajo udeležence in vedo, ali je okno Zoom okno v fokusu ali ne in če uporabniki posnamejo video klic, potem lahko skrbniki Zooma »dostopajo do vsebine tega posnetega klica, vključno z videom, zvokom, prepisom in datoteke za klepet ter dostop do skupne rabe, analitike in privilegijev upravljanja v oblaku. Prejšnji teden je bil Zoom ujet, da deli podatke s Facebookom in ravno včeraj smo zajeti Zoomove lažne trditve o šifriranju od konca do konca pri skupinskih klicih.

Posodobitev:

V naslednjih 90 dneh bo Zoom uporabljal vse svoje vire za boljše prepoznavanje, reševanje in proaktivno odpravljanje težav z varnostjo in zasebnostjo. Zoom torej v naslednjih 3 mesecih ne bo dodajal novih funkcij. Prav tako bo izvedel izčrpen pregled s strokovnjaki tretjih oseb in reprezentativnimi uporabniki, da bi razumel in zagotovil varnost svoje storitve. Več o tej objavi tukaj.