Tālummaiņa: kā drošības kļūda ļāva hakeriem uzlauzt privāto sapulču paroles

Tālummaiņa Tika konstatēts, ka tajā ir kļūda, ko hakeri varēja izmantot un izmantot, lai uzlauztu paroles privātām sapulcēm. Runājot par privātumu, Zoom pēdējā laikā bieži tiek ziņots par drošības problēmām. Tas daļēji ir rezultāts tam, cik ātri tālummaiņa no dažiem lietotājiem ir kļuvusi par daudziem lietotājiem, jo ​​daudzi tagad strādā no mājās un nepieciešami videokonferenču un saziņas risinājumi, lai uzturētu kontaktus ar draugiem, ģimeni un darbu Kolēģi.

Mēnešiem ejot, tālummaiņa ir kļuvusi par neticami svarīgu resursu cilvēkiem, kuri strādā attālināti. Kā resurss cilvēki var rīkot sanāksmes, vienlaikus ievērojot atbilstošas ​​sociālās distancēšanās vadlīnijas, un, lai gan daudzi var būt gandarīti par dīvains fons, ir tie, kas ir nobažījušies par drošības trūkumi kas saistīti ar platformu, tostarp Tālumbombardēšana.

Emuāra ziņā Toms Entonijs kopīgoja informāciju par Zoom drošības trūkumu. Papildus detalizētai informācijai drošības ievainojamībasEntonijs informēja Zoom par kļūdu un sniedza ieteikumus, kā Zoom varētu uzlabot savu drošību. Problēma pirmo reizi tika atzīmēta pēc tam, kad Apvienotās Karalistes premjerministrs Boriss Džonsons kopīgoja Zoom kabineta sanāksmes attēlu, kurā Entonijs mēģināja uzminēt paroli, lai pievienotos. Šajā sanāksmē nejauši bija izslēgts lietotājs, kurš tika apzīmēts kā “iPhone”, un, lai gan valdība paskaidroja, ka sapulce bija aizsargāta ar paroli, Entonijs baidījās, ka kāds, iespējams, jau iepriekš ir atradis un izmantojis ļaunprātīgu izmantošanu.

Izpratne par jaunāko tālummaiņas drošības trūkumu

Ir svarīgi saprast, ka noklusējuma paroles on Zoom sākotnēji sastāvēja no sešiem cipariem; lai gan cilvēki var izveidot 10 ciparu burtciparu paroli. Parasti vietne vai lietojumprogramma var ierobežot, cik reižu lietotājs var ievadīt paroli; bet Zoom ļāva cilvēkiem ievadīt paroli tik reižu, cik viņi vēlējās, bez sekām. Rezultātā cilvēki varēja ievadīt vienu miljonu potenciālo paroļu, lai piekļūtu a Tālummaiņas sanāksme. Entonijs to pārbaudīja ar Python, ātri iesniedzot paroļu partijas, un tādējādi atrada pareizo kodu mazāk nekā 30 minūšu laikā. Turklāt Entonijs uzsvēra, ka cilvēki varētu ātrāk atrast paroli, ja viņiem ir labāks kods, ko pārbaudīt partijas un izcilus resursus, vienlaikus ņemot vērā arī to, ka burtciparu paroles var tikt uzlauztas vienā stunda.

Entonijs nāca klajā ar dažiem risinājumiem, lai nepieļautu, ka kāds, piemēram, iespējams, noslēpumainais “iPhone” cilvēks, iekļūtu privātās sanāksmēs. Pirmais risinājums ir diezgan vienkāršs; būtībā dod lietotājiem noteiktu skaitu paroles mēģinājumu un pat ierobežot paroles, pamatojoties uz lietotāja IP adrese. Šajā sakarā Entonijs arī uzskata, ka Zoom vajadzētu padarīt noklusējuma paroles garākas. Turklāt Entonijs arī apgalvo, ka cilvēki sanāksmēs jāsaņem brīdinājumi kad kāds neizdodas izmantot vairākus paroles mēģinājumus, kā arī norādīja, ka Zoom ir jānovērš kļūda attiecībā uz konfidencialitātes noteikumu lapu, kurā ļaunprātīgas personas var automatizēt uzbrukumus, izlaižot CSRF HTTP galvene.

Ir vērts pieminēt, ka Zoom jau ir novērsusi problēmu tā, lai hakeri nevar iekļūt privātās sanāksmēs, izmantojot to pašu metodi. Pēc Entonija teiktā, videokonferenču uzņēmums rīkojās ātri, lai mazinātu problēmu, piespiežot lietotājus pierakstīties, izmantojot tīmekļa klientu, un pārslēdzoties uz burtciparu noklusējuma parolēm. Ņemot to vērā, tālummaiņa vienmēr varētu pievienot vairāk drošību funkcijas un aizsardzības slāņi, lai labāk atbalstītu tā lietotājus.

Avots: Toms Entonijs

Uncharted filmas reklāmkadri: 20 lielākie stāsti un Lieldienu olas

Par autoru