Разговоры в Zoom оказалось возможным прослушивать

Опубликовано at 19:25
170 0

Специалисты компании Check Point нашли в платформе для проведения видеоконференций Zoom уязвимость, эксплуатация которой позволяла без приглашения присоединяться к чужим разговорам и получать доступ ко всем данным и файлам, которыми обмениваются участники.

Для этого нужно всего лишь подобрать идентификатор, состоящий из 9-11 случайных чисел. Идентификатор играет роль адреса, по которому участники конференции могут найти и присоединиться к нужному разговору. Исследователям Check Point удалось найти уязвимость, позволившую им в довольно малом (4%) числе случаев подобрать действительный идентификатор звонка и присоединиться к конференции.

Может показаться, что это незначительная уязвимость (непонятно, с кем соединился, и редко получается). Однако это серьезная уязвимость в плане потенциального плацдарма для уже точечного подсоединения злоумышленника, например, коммерческого шпиона (ведь Zoom используют прежде всего в бизнесе для совещаний).

В настоящее время Zoom обновили для устранения проблемы, также разработчики сделали обязательным использование пароля для подключения к конференциям. Идентификаторы через сканирование тоже теперь не ищутся и платформа будет банить такие любопытные устройства. Тем интереснее, найдут ли хакеры новую лазейку в Zoom, ведь это уже не первая.

Прошлым летом Apple по-тихому выпустила обновление для macOS, которое удаляет скрытый web-сервер сервиса для организации видеоконференций Zoom. Ранее исследователь Джонатан Лейтшу (Jonathan Leitschuh) раскрыл уязвимость (CVE-2019–13450) в Zoom, которая позволяла без разрешения включить web-камеру и присоединить пользователя к видеоконференции Zoom. Обновление удаляет скрытый web-сервер Zoom, который оставался на системе после деинсталяции приложения.

Читайте также на АКБ:

Умные дома оказалось легко прослушивать через бэкенд

Подписываемся, следим @CyberAgency

Related Post

Sony патентует блокчейн-систему многофакторной аутентификации

Опубликовано - 31.10.2017 0
Японская технологическая компания Sony подала заявку на патентование блокчейн-системы многофакторной аутентификации. Компания планирует использовать две различные блокчейн-платформы в сочетании друг…

Физические датчики вашего смартфона могут нарушить конфиденциальность

Опубликовано - 26.12.2017 0
Хакеры могут угадать PIN-код вашего смартфона и разблокировать его, используя данные с физических датчиков устройства, таких как акселерометр, гироскоп и…

Firefox заблокировал браузерную дактилоскопию

Опубликовано - 01.11.2017 0
Firefox скоро предоставит пользователям систему с повышенным уровнем конфиденциальности, в которой будет заблокировано использование браузерной индентификации, выполняемой через элемент канвас…