Zoom toplantıları hizmetinde bulunan bir başka önemli güvenlik sorunu

Okuma zamanı simgesi 2 dk. okuman


Okuyucular MSpoweruser'ı desteklemeye yardımcı olur. Bağlantılarımız aracılığıyla satın alırsanız komisyon alabiliriz. Araç İpucu Simgesi

MSPoweruser'ın editör ekibini ayakta tutmasına nasıl yardımcı olabileceğinizi öğrenmek için açıklama sayfamızı okuyun. Daha fazla

yakınlaştırma

Koronavirüs pandemisi, Zoom kullanımında bir artış gördü ancak şirket, kullanıcı gizliliğini korumak için mücadele ediyor. Ancak şirket birçok sorunla karşı karşıya kaldı. boşluk şirketi zorlayan müşteri gizliliğini ciddiye almadığı için özellik sürümlerini dondur Hiç bitmeyen güvenlik açıkları listesine yama yapmak için 90 gün boyunca. Nisan ayının başlarında, kullanıcıların kimlik bilgilerinin hackerlar tarafından karanlık ağda nasıl satıldığını bildirmiştik. Nisan ayı sonlarında şirket, güvenlik sorunlarını gidermek için yeni bir güncelleme yayınladı.

Bugün, bir güvenlik araştırmacısı olan Tom Anthony, Zoom'da çok önemli bir güvenlik açığı yayınladı. Bu istismarla, herkes parola korumalı bir Zoom toplantısına katılabilir. Zoom toplantıları, varsayılan olarak 6 haneli sayısal bir şifre ile korunmaktadır. Yani 1 milyon farklı şifre olasılığı var. Tom, Zoom web istemcisinin, herhangi bir deneme sayısı sınırı olmaksızın, herkesin bir toplantı için bir parolanın doğru olup olmadığını kontrol etmesine izin verdiğini buldu. Böylece bir saldırgan, 1 milyon şifrenin tamamını denemek ve birkaç dakika içinde doğru şifreyi bulmak için küçük bir Python kodu yazabilir.

Tom bu sorunu Zoom'a bildirdikten sonra Zoom web istemcisi çevrimdışı oldu. Zoom, hem web istemcisindeki toplantılara katılmak için bir kullanıcının oturum açmasını gerektirerek hem de varsayılan toplantı parolalarını sayısal olmayan ve daha uzun olacak şekilde güncelleyerek sorunu azalttı. Sorun şimdi düzeltilmiş olsa da, aşağıdaki rahatsız edici soruyu gündeme getiriyor.

Saldırganların bu güvenlik açığını diğer kişilerin çağrılarını (örneğin hükümet toplantıları) dinlemek için kullanıp kullanmadığı.

Güncelleme: Zoom sözcüsü güvenlik konusuna ilişkin şu açıklamayı yaptı.

"Bu sorunu 1 Nisan'da öğrendikten sonra, azaltmaları uygularken kullanıcılarımızın güvenliğini sağlamak için Zoom web istemcisini hemen kaldırdık. O zamandan beri oran sınırlamasını iyileştirdik, CSRF belirteç sorunlarını ele aldık ve 9 Nisan'da web istemcisini yeniden başlattık. Bu düzeltmelerle sorun tamamen çözüldü ve herhangi bir kullanıcı eylemi gerekmedi. Vahşi doğada kullanılan bu istismarın herhangi bir örneğinin farkında değiliz. Bu konuyu dikkatimize sunduğu için Tom Anthony'ye teşekkür ederiz. Zoom ürünleriyle ilgili bir güvenlik sorunu bulduğunuzu düşünüyorsanız, lütfen ayrıntılı bir rapor gönderin. [e-posta korumalı]".

Kaynak: Tom Anthony

Kullanıcı forumu

0 mesajları