Уязвимость в Zoom позволяла подключаться к чужим разговорам

Уязвимость в Zoom позволяла подключаться к чужим разговорам

Исследователям удалось подобрать идентификаторы встреч и подключиться к разговорам в Zoom.

Специалисты компании Check Point обнаружили в платформе для проведения видеоконференций Zoom уязвимость, позволявшую злоумышленникам без приглашения присоединяться к чужим разговорам и получать доступ ко всем данным и файлам, которыми обмениваются участники.

Каждый звонок в Zoom имеет свой идентификатор, состоящий из 9-11 случайных чисел. Идентификатор играет роль адреса, по которому участники конференции могут найти и присоединиться к нужному разговору. Исследователям Check Point удалось найти уязвимость, позволившую им в 4% случаев подобрать действительный идентификатор звонка и присоединиться к конференции (исследователи не участвовали в разговорах и завершали звонок в «комнате ожидания»).

Правда, специалистам не удалось связать идентификатор с конкретным пользователем. Поэтому, даже если злоумышленнику удастся подключиться к чьему-то разговору, он не сможет знать заранее, к какому. Исследователи также не нашли подтверждений того, что у подключившегося к разговору злоумышленника будет доступ к камерам и микрофонам его участников.

Специалисты сообщили Zoom о проблеме, и она была быстро исправлена. Разработчики заменили идентификатор «криптографически более надежным», добавили в него больше чисел и сделали обязательным использование пароля для подключения к конференциям.

После исправления уязвимости осуществлять сканирование в поисках действительных идентификаторов, как это сделали специалисты Check Point, больше нельзя. При каждой попытке присоединиться к сеансу связи будет отображаться страница встречи, а после нескольких попыток устройство будет «забанено» платформой.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.