Zoom: Comment un bug de sécurité a permis aux pirates de déchiffrer les mots de passe des réunions privées

Zoom s'est avéré avoir un bogue dont les pirates pourraient tirer parti et utiliser pour déchiffrer les mots de passe pour les réunions privées. En ce qui concerne la confidentialité, Zoom a récemment fait la une des journaux pour ses problèmes de sécurité. C'est en partie le résultat de la rapidité avec laquelle Zoom est passé de certains utilisateurs à beaucoup, en raison du nombre de personnes qui travaillent maintenant à partir de à la maison et qui ont besoin de solutions de vidéoconférence et de communication pour rester en contact avec leurs amis, leur famille et leur travail collègues.

Au fil des mois, Zoom est devenu une ressource incroyablement importante pour les personnes qui travaillent à distance. En tant que ressource, les gens peuvent tenir des réunions tout en maintenant des directives appropriées en matière de distanciation sociale et bien que beaucoup puissent être ravis de la multitude de arrière-plans fantaisistes, il y a ceux qui s'inquiètent de la failles de sécurité associés à la plate-forme, y compris Bombardement zoom.

Dans un article de blog, Tom Antoine partagé des informations sur une faille de sécurité de Zoom. En plus de détailler les vulnérabilités de sécurité, Anthony a informé Zoom de la faille et a fait des suggestions sur la façon dont Zoom pourrait améliorer sa sécurité. Le problème a été signalé pour la première fois après que le Premier ministre britannique, Boris Johnson, a partagé une image d'une réunion du cabinet Zoom, à laquelle Anthony a essayé de deviner le mot de passe pour se joindre. Lors de cette réunion, il y avait un utilisateur en sourdine aléatoire désigné comme « iPhone », et tandis que le gouvernement a expliqué que le réunion était protégée par un mot de passe, Anthony craignait que quelqu'un ait déjà trouvé et utilisé l'exploit.

Comprendre la dernière faille de sécurité Zoom

Il est important de comprendre que par défaut mots de passe sur Zoom se composait à l'origine de six chiffres numériques; cependant, les gens peuvent créer un mot de passe alphanumérique à 10 chiffres. Normalement, un site ou une application peut limiter le nombre de fois qu'un utilisateur peut saisir un mot de passe; mais, Zoom a permis aux gens d'entrer le mot de passe autant de fois qu'ils le voulaient sans conséquence. En conséquence, les gens pourraient entrer le million de mots de passe potentiels pour accéder à un Zoom réunion. Anthony a testé cela avec Python en soumettant rapidement des lots de mots de passe et, par conséquent, a trouvé le code correct en moins de 30 minutes. De plus, Anthony a souligné que les gens pourraient trouver le mot de passe plus rapidement s'ils avaient un meilleur code pour vérifier des lots et des ressources supérieures, tout en notant que les mots de passe alphanumériques peuvent être craqués en un seul heure.

Anthony a proposé quelques solutions pour empêcher quelqu'un, comme le mystérieux "iPhone" présumé, de s'introduire par effraction dans des réunions privées. La première solution est assez simple; en gros, donner aux utilisateurs un certain nombre de tentatives de mot de passe, et même limiter les mots de passe en fonction de l'adresse IP d'un utilisateur adresse. Sur cette note, Anthony pense également que Zoom devrait allonger ses mots de passe par défaut. De plus, Anthony soutient également que les personnes en réunion devrait recevoir des avertissements quand quelqu'un échoue à plusieurs tentatives de mot de passe et a également souligné que Zoom devrait corriger une faille concernant la page de termes de confidentialité où des entités malveillantes pourraient automatiser des attaques en omettant un HTTP CSRF entête.

Il convient de mentionner que Zoom a déjà résolu le problème afin que les pirates ne peut pas entrer dans les réunions privées par la même méthode. Selon Anthony, la société de visioconférence a agi rapidement pour atténuer le problème en forçant les utilisateurs à se connecter via le client Web et en passant aux mots de passe alphanumériques par défaut. Cela dit, Zoom pourrait toujours en ajouter plus Sécurité fonctionnalités et couches de protection pour mieux accompagner ses utilisateurs.

La source: Tom Antoine

Répartition de la bande-annonce du film Uncharted: 20 plus grandes histoires révélées et œufs de Pâques

A propos de l'auteur