Menu dostępności

Bug w aplikacji Zoom pozwala włamać się na prywatne spotkania

Popularna aplikacja do wideokonferencji Zoom kilka dni temu naprawiła nową lukę w zabezpieczeniach. Podatność mogła umożliwić potencjalnym atakującym złamanie kodu numerycznego używanego do zabezpieczania prywatnych spotkań. Tym samym, możliwe było podsłuchiwanie prywatnych rozmów użytkowników.

Spotkania Zoom są domyślnie chronione sześciocyfrowym hasłem numerycznym, ale według Toma Anthony’ego, który zidentyfikował problem, brak ograniczenia częstotliwości wpisywania haseł (rate limit) umożliwił atakującemu wypróbowanie wszystkich 1 miliona haseł w ciągu kilku minut i uzyskać dostęp do prywatnych spotkań Zoom innych osób.

Warto zauważyć, że Zoom zaczął wymagać kodu dostępu do wszystkich spotkań już w kwietniu jako środek zapobiegawczy w walce z atakami tzw. bombardowania, co odnosi się do aktu zakłócania i przejmowania spotkań Zoom bez zaproszenia i dzielenia się nieprzyzwoitymi i rasistowskimi treściami.

Fakt, że spotkania są domyślnie zabezpieczone sześciocyfrowym kodem, oznacza, że może istnieć tylko milion haseł, co w normalnych warunkach i ograniczeniu prób jest wystarczające. Jednak w przypadku braku sprawdzania powtarzających się prób podania nieprawidłowego hasła, osoba atakująca może wykorzystać klienta internetowego Zoom (https://zoom.us/j/MEETING_ID) do ciągłego wysyłania żądań HTTP w celu wypróbowania wszystkich miliona kombinacji.
„Dzięki ulepszonemu wątkowaniu i dystrybucji na 4-5 serwerach w chmurze można sprawdzić całą przestrzeń na hasła w ciągu kilku minut” – powiedział Anthony.
Atak działał również na cyklicznie powtarzające się spotkania, co sugerowało, że atakujący mogli mieć dostęp do trwających spotkań po złamaniu hasła.

Badacz odkrył również, że tę samą procedurę można powtórzyć nawet w przypadku zaplanowanych spotkań, które mają opcję zastąpienia domyślnego hasła dłuższym wariantem alfanumerycznym. Hackerzy porównują wtedy listę 10 milionów najpopularniejszych haseł w celu „brutalnego wymuszenia logowania”.

Platforma Zoom została zbadana pod kątem wielu problemów związanych z bezpieczeństwem, gdy jej użycie gwałtownie wzrosło podczas pandemii koronawirusa, szybko załatała wady, gdy zostały odkryte, nawet ogłaszając 90-dniowe wstrzymanie udostępniania nowych funkcji po to, aby w pierwszej kolejności zadbać o bezpieczeństwo.
Nieco wcześniej w tym miesiącu firma usunęła lukę typu zero-day w swojej aplikacji Windows, która mogła umożliwić atakującemu wykonanie dowolnego kodu na komputerze ofiary z systemem Windows 7 lub starszym. Naprawiono również osobną lukę, która mogła pozwolić atakującym na podszywanie się pod organizację i nakłonienie jej pracowników lub partnerów biznesowych do ujawnienia osobistych lub innych poufnych informacji za pomocą ataków socjotechnicznych.

Tak czy inaczej, problemy z bezpieczeństwem platformy Zoom na przestrzeni ostatnich kilku miesięcy były wyraźnie zauważalne. Pytania: czy jest to tylko związane ze wzmożoną aktywnością użytkowników? Czy może należy zmniejszyć zaufanie do tej aplikacji? Czy dalej traktować Zoom jako narzędzie do wymiany poufnych informacji? Te pytania pozostawiamy bez odpowiedzi. Sam, Drogi Czytelniku, musisz podjąć decyzje.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...