Säkerhetsforskare utvecklar verktyg för insamling av information Zoom Meetings

Före den senaste coronapandemin var många människor tvungna att arbeta hemifrån. När det kommer till personliga möten har företag varit tvungna att hitta en lösning som gör att de kan ringa till konferenser så billigt. Zoom är en lösning som har antagits och rekommenderats över hela världen, till den punkt där Zoom används för både företag och utbildning.

Tyvärr är zoomen inte särskilt säker. Säkerhetsforskare har visat detta med utvecklingen av ett verktyg som kan samla in information från Zoom-möten.

Vad gör det här verktyget?

När någon skapar ett nytt Zoom-möte tillhandahålls ett unikt ID. Värden kan sedan dela detta ID med personerna de vill skapa mötet med. Deltagarna anger sedan ID på sin sida för att komma in i rummet.

Säkerhetsforskare har utvecklat zWarDial, ett verktyg som skannar dessa ID:n efter information. Verktyget lyckades hitta legitima mötes-ID:n 14 procent av tiden, vilket är ganska imponerande med tanke på att zoom-ID:n är nio till elva siffror långa.

Verktyget hittar cirka 100 möten per timme utan lösenordslås. Från dessa möten kunde verktyget få information om dem. Denna information inkluderar vem som startade mötet och vad mötets ämne var.

Varför är det dåligt?

Denna utelämnande är dålig av två skäl: bombning och spionage.

Bombning är när en individ eller grupp attackerar ett öppet Zoom-möte. Zoombombplan ropade ofta obscena kommentarer till deltagarna och visade stötande bilder genom Zooms skärmdelningsfunktion.

Eftersom verktyget specifikt hittar möten som inte har något lösenord på sig, kan Bomber få ett ID från verktyget och använda det för att invadera mötet utan att stanna.

Men alla är inte oroliga för att orsaka problem. Genom att använda serverdetaljerna och mötesämnet kan illvilliga aktörer hämta läckt information från företaget som organiserade mötet. Om agenten vill veta mer kan de försöka smyga in på mötet oskyddat för mer information.

Lägg till säkerhet till möten

Lyckligtvis skapades det här verktyget av en säkerhetsforskare vid namn Lo Lo. Som sådan, även om denna sårbarhet är ganska skrämmande, upptäcktes den av någon som ville visa upp och varna andra om problemet, snarare än att dra fördel av det.

Lo fortsatte med att säga att eftersom verktyget bara kan hämta information från möten som inte är lösenordsskyddade, är det bästa sättet att besegra attacken att ställa in ett lösenord för varje Zoom-konferenssamtal. Detta förhindrar zWarDial från att fånga detaljer.

Som svar på utvecklingen av zWarDial sa Zoom följande:

Zoom uppmuntrar starkt användare att implementera lösenord för alla sina möten för att säkerställa att objudna användare inte kan gå med.

Lösenord för nya möten har aktiverats som standard sedan slutet av förra året, såvida inte kontoinnehavaren eller administratören har valt bort det. Vi undersöker unika edge-fall för att avgöra om en användare som inte är ansluten till kontoinnehavaren eller en administratör kanske inte har fått lösenordet som var aktiverat som standard under ändringen.

Som sådan, även om det är bekvämt att dela en möteslänk utan ett lösenord, sätt alltid en på plats för att hindra människor från att invadera ditt konferenssamtal.

För att vara säker på zoom

Zoom har exploderat i popularitet efter coronavirusutbrottet, men dess säkerhet har mycket att önska. Detta demonstreras av zWarDial, ett verktyg skapat av forskare som kan samla in information från oskyddade mötesrum. Genom att ställa in ett lösenord kan du skydda dina egna möten från denna attack. Dessutom kan du använda andra videokonferensverktyg med bättre säkerhet.

var den här artikeln hjälpsam?