Zoom: Kako je sigurnosni bug omogućio hakerima da razbiju lozinke za privatne sastanke

Zum otkriveno je da ima grešku koju su hakeri mogli iskoristiti i upotrijebiti je za razbijanje lozinki za privatne sastanke. Što se tiče privatnosti, Zoom je nedavno bio u vijestima zbog svojih sigurnosnih problema. To je djelomično rezultat toga koliko je brzo Zoom prešao s nekih korisnika na mnogo, zbog toga što mnogi sada rade s njima kod kuće i trebaju rješenja za video konferencije i komunikaciju kako biste ostali u kontaktu s prijateljima, obitelji i na poslu kolege.

Kako su mjeseci prolazili, Zoom je postao nevjerojatno važan resurs za ljude koji rade na daljinu. Kao izvor, ljudi mogu održavati sastanke uz održavanje odgovarajućih smjernica o društvenom distanciranju, a mnogi će možda biti oduševljeni mnoštvom hirovite pozadine, postoje oni koji su zabrinuti zbog sigurnosni propusti povezane s platformom, uključujući Zoombardiranje.

U postu na blogu, Tom Anthony podijeljene informacije o sigurnosnom propustu Zooma. Osim pojedinosti o sigurnosne ranjivosti, Anthony je obavijestio Zoom o nedostatku i dao prijedloge o tome kako bi Zoom mogao poboljšati svoju sigurnost. Problem je prvi put primijećen nakon što je britanski premijer Boris Johnson podijelio sliku sastanka kabineta Zoom -a, kojem je Anthony pokušao pogoditi lozinku za pridruživanje. Na ovom sastanku je bio slučajni isključeni korisnik označen kao "iPhone", a vlada je objasnila da sastanak je bio zaštićen lozinkom, Anthony se bojao da je netko već prethodno pronašao i koristio iskorištavanje.

Razumijevanje najnovijeg sigurnosnog propusta Zooma

Važno je razumjeti tu zadanu postavku lozinke on Zoom izvorno se sastojao od šest brojčanih znamenki; iako ljudi mogu napraviti 10-znamenkastu alfanumeričku lozinku. U pravilu, web-mjesto ili aplikacija mogu ograničiti koliko puta korisnik može unijeti lozinku; ali Zoom je omogućio ljudima da unesu lozinku koliko god puta žele bez posljedica. Kao rezultat toga, ljudi bi mogli unijeti milijun potencijalnih lozinki kako bi dobili pristup a Zumiranje sastanka. Anthony je to testirao s Pythonom tako što je brzo slao serije lozinki i, posljedično, pronašao ispravan kod za manje od 30 minuta. Nadalje, Anthony je naglasio da bi ljudi mogli brže pronaći lozinku ako imaju bolji kod za provjeru serije i vrhunske resurse, uz napomenu da bi se alfanumeričke lozinke mogle razbiti unutar jedne sat.

Anthony je smislio nekoliko rješenja kako bi spriječio nekoga, poput navodne misteriozne osobe s 'iPhoneom', da provaljuje na privatne sastanke. Prvo rješenje je prilično jednostavno; u osnovi, dajte korisnicima određeni broj pokušaja lozinke, pa čak ograničiti lozinke na temelju IP adrese korisnika adresa. S tim u vezi, Anthony također vjeruje da bi Zoom trebao produljiti njihove zadane lozinke. Osim toga, Anthony također tvrdi da ljudi na sastancima treba primati upozorenja kada netko ne uspije u višestrukim pokušajima lozinke i također je istaknuo da bi Zoom trebao popraviti nedostatak u vezi sa stranicom termina privatnosti na kojoj bi zlonamjerni subjekti mogli automatizirati napade izostavljajući CSRF HTTP Zaglavlje.

Vrijedi spomenuti da je Zoom već riješio problem tako da hakeri ne mogu ulaziti na privatne sastanke istom metodom. Prema Anthonyju, tvrtka za video konferencije brzo je djelovala kako bi ublažila problem prisiljavajući korisnike da se prijave putem web klijenta i prebacivanjem na alfanumeričke zadane lozinke. Uz to, Zoom bi uvijek mogao dodati više sigurnost značajke i slojeve zaštite za bolju podršku svojim korisnicima.

Izvor: Tom Anthony

Pregled filmskog trailera Uncharted: 20 najvećih otkrića priča i uskršnja jaja

O autoru