Ett annat stort säkerhetsproblem hittades i Zoom-mötestjänsten

Hem » Nyheter

Lästid ikon 2 min. läsa

Kalenderikonen Uppdaterad den

by Pradeep Viswav 

uppdateras

Dela den här artikeln

Läsare hjälper till att stödja MSpoweruser. Vi kan få en provision om du köper via våra länkar. Verktygstipsikon

Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer

Zoom

Coronavirus-pandemin har sett en ökning av användningen av Zoom men företaget har kämpat för att upprätthålla användarnas integritet. Företaget har dock stått inför en hel del glapp för att inte ta kundernas integritet på allvar vilket tvingade företaget till frysa funktionsutgåvor i 90 dagar för att korrigera den oändliga listan över sårbarheter. I början av april rapporterade vi hur användarnas referenser såldes av hackare på den mörka webben. I slutet av april har företaget släppt en ny uppdatering för att lösa säkerhetsproblemen.

Idag publicerade Tom Anthony, en säkerhetsforskare, en avgörande säkerhetsrisk i Zoom. Med denna exploatering kan vem som helst gå med i ett lösenordsskyddat Zoom-möte. Zoommöten skyddas som standard av ett sexsiffrigt numeriskt lösenord. Så det finns en möjlighet till 6 miljon olika lösenord. Tom upptäckte att Zoom-webbklienten tillät vem som helst att kontrollera om ett lösenord är korrekt för ett möte utan någon begränsning på antalet försök. Så en angripare kan skriva en liten Python-kod för att prova alla 1 miljon lösenord och hitta rätt lösenord på några minuter.

Efter att Tom rapporterade det här problemet till Zoom gick Zoom-webbklienten offline. Zoom mildrade problemet genom att både kräva att en användare loggar in för att gå med i möten i webbklienten och även att uppdatera standardmöteslösenorden till att vara icke-numeriska och längre. Även om problemet nu är åtgärdat väcker det följande oroande fråga.

Huruvida angripare redan använde denna sårbarhet för att lyssna på andras samtal (t.ex. regeringsmötena).

Uppdatering: Zoom talesman gav följande uttalande angående säkerhetsfrågan.

"När vi fick veta det här problemet den 1 april tog vi omedelbart ned Zoom-webbklienten för att säkerställa våra användares säkerhet medan vi implementerade begränsningar. Vi har sedan dess förbättrat hastighetsbegränsningen, åtgärdat CSRF-tokenproblemen och återlanserat webbklienten den 9 april. Med dessa korrigeringar var problemet helt löst och ingen användaråtgärd krävdes. Vi är inte medvetna om några fall av att denna exploatering har använts i naturen. Vi tackar Tom Anthony för att han uppmärksammade denna fråga. Om du tror att du har hittat ett säkerhetsproblem med Zoom-produkter, skicka en detaljerad rapport till [e-postskyddad]. "

Källa: Tom Anthony

Mer om ämnena: Zoom

Pradeep Viswav

Pradeep Viswav Sköld

Expert på programvara och tjänster

Pradeep är en examen i datavetenskap och teknik. Han var också en Microsoft Student Partner. Han arbetar för närvarande i ett ledande IT-företag.