Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Уязвимость в Zoom позволяла злоумышленникам подключаться к чужим разговорам
Специалисты компании Check Point Research, работающей в сфере информационной безопасности, сообщили об обнаружении уязвимости в платформе видеоконференцсвязи Zoom. Она могла использоваться злоумышленниками для подключения к чужим конференциям без приглашения, а также сбора разного рода информации и копирования файлов, передаваемых участниками видеоконференции в процессе беседы.
Вызовам, совершаемым внутри платформы Zoom, присваиваются цифровые идентификаторы длиной от 9 до 11 символов. Они используются участниками конференции для поиска и присоединения к нужному вызову. В ходе исследования специалисты Check Point разработали метод, позволяющий примерно в 4 % случаев присоединиться к конференциям других пользователей. Исследователи отмечают, что они не прослушивали разговоры, завершая вызов после попадания в «комнату ожидания».
«Это было похоже на рулетку Zoom. Смысл заключается в том, что, если вы проводите видеоконференцию с несколькими участниками, вы можете не заметить, что кто-то, кого не должно там быть, подключился и слушает вас», — сказал глава отдела кибер-исследований Check Point Янив Балмас (Yaniv Balmas).
Поскольку конференции в Zoom могут вмещать «десятки тысяч» участников в одном собрании, злоумышленники могли незаметно присоединиться к беседе без предварительного уведомления в случае, если не предпринимаются меры по дополнительной проверке участников. В отчёте говорится, что специалисты компании не смогли связать идентификатор конференции на платформе Zoom с каким-либо конкретным пользователем. Это означает, что даже если злоумышленник сумеет получить доступ к случайной конференции, до присоединения к беседе он не будет знать, кто её организовал и кто проводит.
Специалисты Check Point сообщили о проблеме в Zoom, после чего она была оперативно решена. Случайная генерация идентификаторов была заменена «криптографически надёжной». Кроме того, в идентификаторы были добавлены дополнительные знаки, а для подключения к конференции введена обязательная идентификация по паролю. Таким образом, метод подбора идентификаторов, используемый в ходе исследования Check Point, больше не актуален.
Источник:
Читайте также:
Второй патч для «Смуты» исправляет ошибки в заданиях, повышает скорость установки игры и устраняет проблему с выдачей достижений
Анонсирован мрачный экшен-хоррор Decadent: отсылки к творчеству Лавкрафта, галлюцинации главного героя и поиски пропавшей экспедиции
