Một lỗ hổng Zoom mới đang làm rò rỉ dữ liệu cá nhân cho người lạ
4 phút đọc
Được đăng trên
Chia sẻ bài báo này
Cải thiện hướng dẫn này
Đọc trang tiết lộ của chúng tôi để tìm hiểu cách bạn có thể giúp MSPoweruser duy trì nhóm biên tập Tìm hiểu thêm
Đại dịch coronavirus đang diễn ra khiến các công ty dựa vào các ứng dụng cộng tác trong công việc và hội nghị truyền hình như Slack và Zoom. Trong khi Zoom đã được hưởng danh tiếng mới xuất hiện, công ty cũng đã trở thành mục tiêu của các cuộc tấn công và đang đối phó với các lỗ hổng và vi phạm bảo mật.
Đầu ngày hôm nay chúng tôi báo cáo về một lỗ hổng bảo mật cho phép bất kỳ ai mà bạn trò chuyện cùng ăn cắp thông tin đăng nhập Windows của bạn. Bây giờ, Phó đã xuất bản một báo cáo xác định một lỗ hổng khác trong Zoom. Theo Vice, Zoom đang làm rò rỉ địa chỉ email, ảnh người dùng và cho phép một số người dùng thực hiện cuộc gọi điện video với người lạ. Điều này là do cách ứng dụng xử lý các địa chỉ liên hệ mà ứng dụng cho rằng hoạt động cho cùng một tổ chức.
Rõ ràng, công ty có một tính năng được gọi là “Danh mục công ty”Cho phép người dùng thêm những người khác có cùng tên miền để việc tìm kiếm dễ dàng hơn có thể gọi cho mọi người. Tính năng này dành cho những người dùng bên trong một tổ chức nơi mọi người dùng chung một tên miền. Tuy nhiên, phần mềm đang coi một số miền riêng tư vì chúng là một phần của công ty và như vậy, nó thêm hàng nghìn người ngẫu nhiên vào nhóm như thể tất cả họ đều làm việc cho cùng một công ty, tiết lộ thông tin cá nhân của họ cho nhau.
Người dùng đã nói với Vice về vấn đề này cho biết anh ta có thể thấy họ tên, địa chỉ mail, ảnh hồ sơ của họ (nếu có), trạng thái của họ và bạn có thể gọi điện video cho họ. Ông cũng lưu ý rằng để khai thác lỗi, người dùng cần đăng ký bằng email không chuẩn như xs4all.nl, dds.nl và quicknet.nl. Đây là tất cả các nhà cung cấp dịch vụ internet Hà Lan (ISP) cung cấp dịch vụ email.
Vấn đề nằm ở cài đặt "Danh bạ công ty" của Zoom, cài đặt này tự động thêm những người khác vào danh sách liên hệ của người dùng nếu họ đăng ký bằng địa chỉ email có cùng tên miền. Điều này có thể giúp bạn dễ dàng tìm thấy một đồng nghiệp cụ thể để gọi khi miền thuộc về một công ty riêng lẻ. Nhưng nhiều người dùng Zoom cho biết họ đã đăng ký bằng địa chỉ email cá nhân và Zoom gộp chúng lại với hàng nghìn người khác như thể họ đều làm việc cho cùng một công ty, tiết lộ thông tin cá nhân của họ cho nhau.
- Hành vi xấu xa
Vice cũng tìm thấy trường hợp những người khác phàn nàn về vấn đề tương tự trên Twitter. Tất cả người dùng đã đăng nhập bằng email không chuẩn của Hà Lan và ứng dụng cho rằng họ là một phần của công ty.
https://twitter.com/JJVLebon/status/1242175850306580486
ISP XS4ALL của Hà Lan đã tweet để phản hồi lại một khiếu nại, “Đây là thứ mà chúng tôi không thể vô hiệu hóa. Bạn có thể xem liệu Zoom có thể giúp bạn điều này hay không. " Một ISP DDS khác của Hà Lan nói với Vice rằng họ đã biết về vấn đề này nhưng chưa nghe bất cứ điều gì trực tiếp từ khách hàng. Mặt khác, Zoom đã đưa ra tuyên bố sau cho Vice:
Zoom duy trì danh sách đen các miền và thường xuyên chủ động xác định các miền sẽ được thêm vào. Liên quan đến các miền cụ thể mà bạn đã đánh dấu trong ghi chú của mình, những miền đó hiện đã được đưa vào danh sách đen.
- Thu phóng
Ngoài ra, công ty cũng đã trỏ đến một phần của trang web nơi người dùng có thể yêu cầu xóa các miền khác khỏi tính năng Danh bạ công ty. Đáng tiếc, đây không phải lần đầu tiên hãng bị bắt gặp tụt quần. Trở lại năm 2019, một nhà nghiên cứu đã phát hiện ra một lỗi cho phép tin tặc chiếm quyền kiểm soát webcam mà người dùng không hề hay biết.
Sớm hơn EFF đã chỉ ra cách người dẫn chương trình có thể giám sát những người tham gia và biết một cửa sổ Cửa sổ thu phóng có được lấy nét hay không và nếu người dùng ghi lại cuộc gọi điện video, thì quản trị viên Thu phóng có thể “truy cập nội dung của cuộc gọi đã ghi đó, bao gồm video, âm thanh, bản ghi và các tệp trò chuyện, cũng như quyền truy cập vào các đặc quyền chia sẻ, phân tích và quản lý đám mây ”. Tuần trước, Zoom là bị bắt gặp chia sẻ dữ liệu với Facebook và mới hôm qua chúng tôi phủ Tuyên bố không có thật của Zoom về mã hóa đầu cuối đối với các cuộc gọi nhóm.
Cập nhật:
Trong 90 ngày tới, Zoom sẽ sử dụng tất cả các nguồn lực của mình để chủ động xác định, giải quyết và khắc phục các vấn đề về bảo mật và quyền riêng tư. Vì vậy, Zoom sẽ không thêm bất kỳ tính năng mới nào trong 3 tháng tới. Nó cũng sẽ tiến hành đánh giá toàn diện với các chuyên gia bên thứ ba và người dùng đại diện để hiểu và đảm bảo tính bảo mật cho dịch vụ của mình. Tìm hiểu thêm về thông báo này tại đây.
