Исследователи Check Point обнаружили серьезный баг в популярном сервисе для видеоконференций Zoom. Хакеры могли прослушивать видеоконференции, иметь доступ ко всем аудио- и видеофайлам, а также документам, которыми жертвы делились друг с другом.

Zoom используют примерно 60% компаний из списка Fortune 500 (рейтинг 500 крупнейших мировых компаний).

Эксперты рассказывают, злоумышленники могли злоупотреблять тем, как Zoom генерирует URL-адреса для виртуальных конференц-залов, и использовать эту особенность для подслушивания. Так, ID конференции Zoom предоставляет доступ к собранию участникам конференции. Как правило, такие идентификаторы состоят из 9-11 символов и выглядят следующим образом:  https://zoom.us/j/93XXX9XXX5.

По данным команды Check Point Research, хакер мог заранее создать длинный список идентификаторов собраний, и затем быстро проверить, действителен ли соответствующий ID или нет. Если идентификатор действителен, а конференция не защищена паролем, злоумышленник мог получить к ней доступ и следить за всем происходящим.

Хотя возможна лишь случайная генерация URL-адресов, и значит, данный трюк не может быть использован для целенаправленных атак против конкретной организации, все же если злоумышленники найдут интересную «комнату», они могут продолжать возвращаться в нее, пока не будет установлен пароль.

Исследователи впервые связались с разработчиками Zoom 22 июля 2019 года, чтобы сообщить им о проблеме. Впоследствии компания Check Point работала с Zoom, чтобы выпустить серию исправлений и обновлений, призванных устранить обнаруженные баги.

В результате компания Zoom устранила проблемы и внедрила следующие функции безопасности:

  • Пароли по умолчанию: пароль добавляется по умолчанию ко всем будущим запланированным встречам.
  • Добавление пароля самим пользователем. Пользователи могут добавить пароль для уже запланированных собраний и получить инструкцию по электронной почте о том, как это сделать.
  • Проверка ID участника: Zoom больше не будет автоматически указывать, является ли идентификатор собрания действительным или недействительным. При каждой попытке проверки, будет загружаться страница, и осуществляться попытка присоединения к собранию. Таким образом, хакер не сможет быстро проверить разные ID и быстро присоединиться к конференциям.
  • Устройство блокировки. Повторяющиеся попытки сканирования ID конференций приведут к блокировке устройства на некоторое время.

1 комментарий

  1. Аватар

    pancho

    30.01.2020 at 13:09

    может проще было пароль сделать обязательным генерить его автоматически и полставлять параметром в url?

Оставить мнение