Zoom: как ошибка безопасности позволила хакерам взломать пароли частных встреч

Увеличить была обнаружена ошибка, которую хакеры могли использовать для взлома паролей для частных встреч. Что касается конфиденциальности, Zoom в последнее время часто упоминается в новостях из-за проблем с безопасностью. Отчасти это результат того, как быстро Zoom превратился от некоторых пользователей к большому количеству пользователей из-за того, что многие из них сейчас работают с дома и нуждаются в решениях для видеоконференцсвязи и связи, чтобы оставаться на связи с друзьями, семьей и на работе коллеги по работе.

По прошествии нескольких месяцев Zoom стал невероятно важным ресурсом для людей, которые работают удаленно. В качестве ресурса люди могут проводить собрания, соблюдая при этом надлежащие принципы социального дистанцирования, и в то время как многие могут быть довольны множеством причудливые фоны, есть те, кого беспокоит недостатки безопасности связанные с платформой, в том числе Зумомбирование.

В сообщении в блоге Том Энтони поделился информацией о недостатке безопасности Zoom. Помимо детализации

уязвимости безопасностиЭнтони сообщил Zoom об уязвимости и дал предложения о том, как Zoom может улучшить свою безопасность. Проблема была впервые отмечена после того, как премьер-министр Великобритании Борис Джонсон поделился снимком заседания кабинета Zoom, на котором Энтони пытался угадать пароль для присоединения. На этой встрече был случайный пользователь с отключенным звуком, обозначенный как «iPhone», и хотя правительство объяснило, что встреча была защищена паролем, Энтони опасался, что кто-то, возможно, ранее уже нашел и использовал эксплойт.

Понимание последнего недостатка безопасности Zoom

Важно понимать, что по умолчанию пароли изначально Zoom состоял из шести числовых цифр; хотя люди могут составить 10-значный буквенно-цифровой пароль. Обычно сайт или приложение может ограничивать количество раз, когда пользователь может вводить пароль; но Zoom позволял людям вводить пароль сколько угодно раз без каких-либо последствий. В результате люди могли ввести миллион потенциальных паролей, чтобы получить доступ к Zoom встреча. Энтони протестировал это с помощью Python, быстро отправляя пакеты паролей, и, следовательно, нашел правильный код менее чем за 30 минут. Кроме того, Энтони подчеркнул, что люди могли бы найти пароль быстрее, если бы у них был лучший код для проверки. пакеты и превосходные ресурсы, а также отметить, что буквенно-цифровые пароли могут быть взломаны в течение одного час.

Энтони придумал несколько решений, чтобы помешать кому-либо, например, предполагаемому загадочному «iPhone», вторгаться на частные встречи. Первое решение довольно простое; в основном, дать пользователям определенное количество попыток ввода пароля и даже ограничивать пароли на основе IP-адреса пользователя адрес. В этой связи Энтони также считает, что Zoom следует удлинить свои пароли по умолчанию. Вдобавок Энтони утверждает, что люди на собраниях должен получать предупреждения когда кто-то не выполняет несколько попыток ввода пароля, а также указывает, что Zoom должен исправить ошибку относительно страницы условий конфиденциальности, где злоумышленники могут автоматизировать атаки, опуская CSRF HTTP заголовок.

Стоит отметить, что Zoom уже устранил проблему, так что хакеры не могут входить в частные собрания тем же способом. По словам Энтони, компания по организации видеоконференцсвязи быстро решила проблему, заставив пользователей входить в систему через веб-клиент и переключившись на буквенно-цифровые пароли по умолчанию. С учетом сказанного, Zoom всегда может добавить больше безопасность функции и уровни защиты для лучшей поддержки пользователей.

Источник: Том Энтони

Разбор трейлера к фильму Uncharted: 20 важнейших раскрытий сюжетов и пасхальные яйца

Об авторе