Исследователь обнаружил, что автоматически генерируемые пароли, защищающие частные собрания Zoom, могут быть взломаны с относительной легкостью, позволяя получить доступ к конфиденциальным конференциям.
Разработчик веб-сайта Том Энтони решил 31 марта этого года проверить, сможет ли он взломать пароль для частных встреч Zoom.
Это произошло после того, как премьер-министр Великобритании Борис Джонсон, председательствовавший на первом в истории цифровом заседании кабинета министров во время пандемии COVID-19, опубликовал скриншот этого события в Twitter.
Энтони был среди тех, кто заметил, что на скриншоте был виден идентификатор встречи Zoom.
Энтони заметил, что помимо идентификатора встречи, ссылка на встречу также содержала автоматически сгенерированный шестизначный хэшированный пароль.
Шесть цифр означали максимум миллион паролей, небольшое количество возможных вариантов, которые можно было бы грубо угадать в течение нескольких минут, используя для этой работы четыре-пять облачных серверов, писал Энтони.
Что еще хуже, Zoom не установил ограничение скорости на повторные попытки угадать пароль, и Энтони также обнаружил другие проблемы, которые заставляли атаку работать и на запланированных встречах.
Можно изменить стандартный шестизначный пароль, но только для запланированных встреч Zoom, а не для спонтанных.
Пользователи Zoom вряд ли изменили стандартный шестизначный цифровой пароль на один с максимально допустимыми десятью символами, который мог бы быть буквенно-цифровым, открывая возможность подслушивания конференций с относительной легкостью.
Энтони предположил, что он был не первым, кто обнаружил этот недостаток, поскольку в кабинете премьер-министра Великобритании был пользователь под названием «iPhone» с выключенной камерой и микрофоном.
Zoom быстро справился с этой уязвимостью, добавив ограничение скорости и улучшив плохую систему паролей в первую неделю апреля после того, как Энтони сообщил о недостатке компании в первом месяце.
“Узнав об этой проблеме 1 апреля, мы немедленно отключили веб-клиент Zoom, чтобы обеспечить безопасность наших пользователей, а также внедрили меры по смягчению последствий», — сказал представитель Zoom.
«С тех пор мы улучшили ограничение ставок, решили проблемы с токенами CSRF и перезапустили веб-клиент 9 апреля.
«С помощью этих исправлений проблема была полностью решена, и никаких действий пользователя не требовалось. Мы не знаем ни одного случая использования этого эксплойта в дикой природе.
-Мы благодарим Тома Энтони за то, что он обратил наше внимание на этот вопрос. Если вы считаете, что обнаружили проблему безопасности с продуктами Zoom, пожалуйста, отправьте подробный отчет по адресу security@zoom.us.»
Компания видеоконференцсвязи стремительно набрала популярность у сотен миллионов пользователей, поскольку пандемия COVID-19 сделала личные встречи невозможными, но была резко раскритикована за плохую безопасность.
