Suum: kuidas turvaviga võimaldas häkkeritel privaatse koosoleku paroole murda

Suumi leiti, et sellel on viga, mida häkkerid võisid ära kasutada ja kasutada erakohtumiste paroolide purustamiseks. Kui rääkida privaatsusest, siis Zoom on viimasel ajal oma turvaprobleemide tõttu palju uudistes olnud. See on osaliselt tingitud sellest, kui kiiresti on Zoom mõnelt kasutajalt palju muutunud, kuna paljud neist töötavad praegu kodus ja vajavad videokonverentsi- ja sidelahendusi, et hoida ühendust sõprade, pere ja tööga kolleegid.

Kuude möödudes on Zoom muutunud kaugtöötavate inimeste jaoks uskumatult oluliseks ressursiks. Ressursina saavad inimesed koosolekuid pidada, järgides samal ajal õigeid sotsiaalse distantseerumise suuniseid ja kuigi paljud võivad olla rõõmsad kapriisne taust, on neid, kes on mures selle pärast turvapuudused platvormiga seotud, sealhulgas Zoompommitamine.

Blogipostituses Tom Anthony jagas teavet Zoomi turvavea kohta. Lisaks üksikasjalikule kirjeldamisele turvanõrkused, teavitas Anthony Zoomi veast ja andis soovitusi, kuidas Zoom saaks oma turvalisust parandada. Probleemi märgiti esmakordselt pärast seda, kui Ühendkuningriigi peaminister Boris Johnson jagas pilti Zoomi valitsuskabineti koosolekust, millega Anthony üritas liitumiseks parooli ära arvata. Sellel koosolekul oli juhuslikult vaigistatud kasutaja, keda nimetati iPhone'iks ja kuigi valitsus selgitas, et koosolekul oli parooliga kaitstud, kartis Anthony, et keegi võib olla juba varem vägivallatsemise leidnud ja kasutanud.

Suumi uusima turvavea mõistmine

Oluline on seda vaikimisi mõista paroolid on Zoom koosnes algselt kuuest numbrilisest numbrist; kuigi inimesed saavad teha 10-kohalise tähtnumbrilise parooli. Tavaliselt võib sait või rakendus piirata kasutajate parooli sisestamise kordade arvu; kuid Zoom lubas inimestel sisestada parooli nii palju kordi, kui nad soovisid, ilma tagajärgedeta. Selle tulemusel said inimesed sisestada miljon potentsiaalset parooli, et pääseda ligi a Suumi koosolek. Anthony testis seda Pythoniga, esitades kiiresti paroolipartiid, ja leidis seetõttu õige koodi vähem kui 30 minutiga. Lisaks rõhutas Anthony, et inimesed leiaksid parooli kiiremini, kui neil on kontrollimiseks parem kood partiid ja paremad ressursid, märkides samas, et tähtnumbrilised paroolid võivad ühe sees puruneda tund.

Anthony pakkus välja mõned lahendused, et takistada kellegi, näiteks väidetava salapärase iPhone'i isiku tungimist erakohtumistele. Esimene lahendus on üsna lihtne; põhimõtteliselt anda kasutajatele teatud arv paroolikatsetusi ja isegi piirata paroole kasutaja IP alusel aadress. Sellega seoses usub Anthony ka, et Zoom peaks muutma nende vaikeparoolid pikemaks. Lisaks väidab Anthony, et inimesed koosolekutel peaksid saama hoiatusi kui keegi ebaõnnestub mitmel paroolikatsel ja juhtis tähelepanu ka sellele, et Zoom peaks vea parandama privaatsustingimuste lehe kohta, kus pahatahtlikud üksused võivad ründeid automatiseerida, jättes välja CSRF HTTP päis.

Tasub mainida, et Zoom on probleemi juba niimoodi lahendanud häkkerid ei saa siseneda erakoosolekutele sama meetodi kaudu. Anthony sõnul tegutses videokonverentsiettevõte probleemi leevendamiseks kiiresti, sundides kasutajaid veebikliendi kaudu sisse logima ja lülituma tähtnumbrilistele vaikeparoolidele. Seda arvestades saaks Zoom alati rohkem lisada turvalisus funktsioone ja kaitsekihte, et kasutajaid paremini toetada.

Allikas: Tom Anthony

Märkimata filmi treilerite jaotus: 20 suurimat lugu ja lihavõttemuna

Autori kohta