Lỗi phóng to có thể cho phép những người không mời tham gia các cuộc họp riêng tư

Nếu bạn sử dụng Zoom để tổ chức các cuộc họp trực tuyến từ xa, bạn cần đọc kỹ phần này.

Phần mềm hội nghị truyền hình phổ biến ồ ạt đã vá lỗ hổng bảo mật có thể cho phép bất cứ ai nghe lén từ xa các cuộc họp hoạt động không được bảo vệ, có khả năng phơi bày âm thanh, video và tài liệu riêng tư được chia sẻ trong phiên.

Bên cạnh việc lưu trữ các cuộc họp và hội thảo ảo được bảo vệ bằng mật khẩu, Zoom cũng cho phép người dùng thiết lập phiên cho những người tham gia chưa đăng ký trước có thể tham gia một cuộc họp hoạt động bằng cách nhập ID cuộc họp duy nhất mà không cần mật khẩu hoặc đi qua Phòng chờ.

Thu phóng tạo ID cuộc họp ngẫu nhiên này, bao gồm 9, Số 10 và 11 chữ số cho mỗi cuộc họp bạn lên lịch hoặc tạo. Nếu bị rò rỉ ngoài một cá nhân hoặc một nhóm người dự định, chỉ cần biết ID cuộc họp có thể cho phép những vị khách không mời tham gia các cuộc họp hoặc hội thảo trên web.

Đây có thể là tin xấu cho bất cứ ai mong đợi cuộc trò chuyện của họ là riêng tư.

phần mềm hack zoom

Để khắc phục các tình huống như vậy, Zoom cuối năm ngoái đã giới thiệu một số điều khiển bổ sung trong cài đặt mật khẩu cho các cuộc họp và hội thảo trên web, theo Check Point, là kết quả nghiên cứu về lỗ hổng bảo mật mà công ty bảo mật có trách nhiệm báo cáo cho công ty vào tháng 7 năm 2019.

Trong một báo cáo được chia sẻ với The Hacker News trước khi phát hành, các nhà nghiên cứu của Check Point đã trình diễn một cuộc tấn công liệt kê tự động nhưng không phức tạp để xác định ID cuộc họp ngẫu nhiên hợp lệ thay vì sử dụng kỹ thuật vũ phu.

"Một tin tặc có thể tạo trước một danh sách dài ID cuộc họp thu phóng, sử dụng các kỹ thuật tự động hóa để nhanh chóng xác minh xem ID cuộc họp thu phóng tương ứng có hợp lệ hay không, và sau đó có được tham gia vào các cuộc họp Zoom không được bảo vệ bằng mật khẩu", các nhà nghiên cứu tuyên bố.

"Chúng tôi đã có thể dự đoán ~4% ID cuộc họp được tạo ngẫu nhiên, đó là cơ hội thành công rất cao, so với lực lượng vũ phu thuần túy. "

Do tiết lộ của Check Point, Zoom đã giới thiệu các tính năng và chức năng bảo mật sau đây vào dịch vụ hội nghị video dựa trên đám mây của mình:

  • Mật khẩu mặc định ⁠ Thu phóng ngay bây giờ, theo mặc định, tự động tạo mật khẩu số gồm sáu chữ số cho mỗi cuộc họp bạn tạo mà người tham gia cần nhập khi tham gia bằng cách nhập thủ công ID cuộc họp.
  • Thực thi mật khẩu cấp tài khoản và cấp nhóm – Theo kiểm soát mới, ba cài đặt mật khẩu mới hiện có thể được thi hành ở cấp tài khoản, nhóm và người dùng bởi quản trị viên tài khoản.
  • Xác thực ID cuộc họp – Thu phóng sẽ không còn tự động cho biết ID cuộc họp hợp lệ hay không hợp lệ, khiến các tập lệnh tự động khó xác định các cuộc họp hoạt động hơn. Đối với mỗi kết nối, trang sẽ tải và cố gắng tham gia cuộc họp. Do đó, một diễn viên xấu sẽ không thể nhanh chóng thu hẹp nhóm cuộc họp để cố gắng tham gia.
  • Trình chặn thiết bị – Để ngăn chặn các cuộc tấn công vũ phu, nhiều lần cố gắng quét ID cuộc họp sẽ khiến thiết bị bị chặn trong một thời gian.

"Quyền riêng tư và bảo mật của người dùng Zoom là ưu tiên hàng đầu của chúng tôi. Vấn đề đã được giải quyết vào tháng 8 năm 2019 và chúng tôi đã tiếp tục bổ sung các tính năng và chức năng bổ sung để tăng cường hơn nữa nền tảng của chúng tôi. Chúng tôi cảm ơn nhóm Check Point đã chia sẻ nghiên cứu và hợp tác của họ. với chúng tôi, "một phát ngôn viên của Zoom nói với The Hacker News.

Vào tháng 7 năm ngoái, Zoom đã đưa ra các tiêu đề sau lỗ hổng bảo mật nghiêm trọng trong ứng dụng khách cho macOS, cho phép kẻ tấn công từ xa hoặc các trang web độc hại bật camera thiết bị của người dùng mà không cần sự cho phép hoặc hiểu biết của họ.