Zoom: Hogyan tette lehetővé egy biztonsági hiba a hackerek számára, hogy feltörjék a privát megbeszélések jelszavait

Zoomolás találtak egy hibát, amelyet a hackerek kihasználhatnak, és a privát megbeszélések jelszavainak feltörésére használhatják. Ami a magánéletet illeti, a Zoom a közelmúltban sokat foglalkozott a biztonsági problémákkal. Ez részben annak az eredménye, hogy a Zoom milyen gyorsan vált egyes felhasználókról sokra, mivel most hányan dolgoznak otthon, és videokonferencia- és kommunikációs megoldásokra van szüksége, hogy kapcsolatban maradjon barátaival, családjával és munkájával kollégák.

Ahogy teltek a hónapok, a Zoom hihetetlenül fontos erőforrássá vált a távolról dolgozó emberek számára. Erőforrásként az emberek megbeszéléseket tarthatnak, miközben betartják a megfelelő szociális távolságtartási irányelveket, és bár sokan örülhetnek a csapatnak szeszélyes hátterek, vannak, akik aggódnak a biztonsági hibák a platformhoz kapcsolódóan, beleértve Zoombombázás.

Egy blogbejegyzésben Tom Anthony megosztott információkat a Zoom biztonsági hibájáról. Amellett, hogy részletezzük a biztonsági réseket

Anthony tájékoztatta a Zoomot a hibáról, és javaslatokat tett arra, hogyan javíthatná a Zoom biztonságát. A problémát először azután vették észre, hogy az Egyesült Királyság miniszterelnöke, Boris Johnson megosztott egy képet a Zoom-kormányülésről, amelyen Anthony megpróbálta kitalálni a csatlakozáshoz szükséges jelszót. Ezen a találkozón volt egy véletlenszerűen elnémított felhasználó, akit „iPhone”-ként jelöltek meg, és miközben a kormány elmagyarázta, hogy a A találkozó jelszóval védett, Anthony attól tartott, hogy valaki már korábban megtalálta és felhasználta a kihasználást.

A Zoom legújabb biztonsági hibájának megértése

Fontos megérteni, hogy az alapértelmezett jelszavakat on Zoom eredetileg hat számjegyből állt; bár az emberek létrehozhatnak egy 10 számjegyű alfanumerikus jelszót. Általában egy webhely vagy alkalmazás korlátozhatja a jelszó megadásának számát; de a Zoom lehetővé tette, hogy az emberek annyiszor írják be a jelszót, ahányszor akarták, következmények nélkül. Ennek eredményeként az emberek megadhatják az egymillió lehetséges jelszót, hogy hozzáférhessenek a Zoom találkozó. Anthony ezt a Python segítségével tesztelte a jelszavak gyors beküldésével, és ennek következtében kevesebb mint 30 perc alatt megtalálta a helyes kódot. Továbbá Anthony hangsúlyozta, hogy az emberek gyorsabban megtalálhatják a jelszót, ha jobb kódot tudnak ellenőrizni kötegeket és kiváló erőforrásokat, miközben megjegyzi, hogy az alfanumerikus jelszavak egyben feltörhetnek óra.

Anthony néhány megoldást kitalált, hogy megakadályozza, hogy valaki, például az állítólagos rejtélyes „iPhone” személy betörjön a privát találkozókra. Az első megoldás meglehetősen egyszerű; alapvetően adjon meg a felhasználóknak bizonyos számú jelszókísérletet, sőt korlátozza a jelszavakat a felhasználó IP-címe alapján cím. Ezzel kapcsolatban Anthony úgy véli, hogy a Zoomnak meg kell hosszabbítania az alapértelmezett jelszavakat. Ezenkívül Anthony azzal is érvel, hogy az emberek a találkozókon figyelmeztetést kell kapnia amikor valaki többszöri jelszókísérletet kudarcot vall, és arra is rámutatott, hogy a Zoomnak ki kell javítania egy hibát az adatvédelmi kifejezés oldalát illetően, ahol a rosszindulatú entitások automatizálhatják a támadásokat a CSRF HTTP elhagyásával fejléc.

Érdemes megemlíteni, hogy a Zoom már megoldotta a problémát, így hackerek nem léphet be privát találkozókra ugyanazzal a módszerrel. Anthony szerint a videokonferencia-társaság gyorsan intézkedett a probléma enyhítése érdekében, és arra kényszerítette a felhasználókat, hogy a webes kliensen keresztül jelentkezzenek be, és alfanumerikus alapértelmezett jelszavakra váltottak. Ezzel együtt a Zoom mindig többet tud hozzáadni Biztonság funkciókat és védelmi rétegeket, hogy jobban támogassa a felhasználókat.

Forrás: Tom Anthony

Uncharted filmelőzetes lebontása: 20 legnagyobb történet és húsvéti tojás

A szerzőről