Popularna aplikacja do wideokonferencji Zoom kilka dni temu naprawiła nową lukę w zabezpieczeniach. Podatność mogła umożliwić potencjalnym atakującym złamanie kodu numerycznego używanego do zabezpieczania prywatnych spotkań. Tym samym, możliwe było podsłuchiwanie prywatnych rozmów użytkowników.
Spotkania Zoom są domyślnie chronione sześciocyfrowym hasłem numerycznym, ale według Toma Anthony’ego, który zidentyfikował problem, brak ograniczenia częstotliwości wpisywania haseł (rate limit) umożliwił atakującemu wypróbowanie wszystkich 1 miliona haseł w ciągu kilku minut i uzyskać dostęp do prywatnych spotkań Zoom innych osób.
Warto zauważyć, że Zoom zaczął wymagać kodu dostępu do wszystkich spotkań już w kwietniu jako środek zapobiegawczy w walce z atakami tzw. bombardowania, co odnosi się do aktu zakłócania i przejmowania spotkań Zoom bez zaproszenia i dzielenia się nieprzyzwoitymi i rasistowskimi treściami.
Fakt, że spotkania są domyślnie zabezpieczone sześciocyfrowym kodem, oznacza, że może istnieć tylko milion haseł, co w normalnych warunkach i ograniczeniu prób jest wystarczające. Jednak w przypadku braku sprawdzania powtarzających się prób podania nieprawidłowego hasła, osoba atakująca może wykorzystać klienta internetowego Zoom (https://zoom.us/j/MEETING_ID) do ciągłego wysyłania żądań HTTP w celu wypróbowania wszystkich miliona kombinacji.
„Dzięki ulepszonemu wątkowaniu i dystrybucji na 4-5 serwerach w chmurze można sprawdzić całą przestrzeń na hasła w ciągu kilku minut” – powiedział Anthony.
Atak działał również na cyklicznie powtarzające się spotkania, co sugerowało, że atakujący mogli mieć dostęp do trwających spotkań po złamaniu hasła.
Badacz odkrył również, że tę samą procedurę można powtórzyć nawet w przypadku zaplanowanych spotkań, które mają opcję zastąpienia domyślnego hasła dłuższym wariantem alfanumerycznym. Hackerzy porównują wtedy listę 10 milionów najpopularniejszych haseł w celu „brutalnego wymuszenia logowania”.
Platforma Zoom została zbadana pod kątem wielu problemów związanych z bezpieczeństwem, gdy jej użycie gwałtownie wzrosło podczas pandemii koronawirusa, szybko załatała wady, gdy zostały odkryte, nawet ogłaszając 90-dniowe wstrzymanie udostępniania nowych funkcji po to, aby w pierwszej kolejności zadbać o bezpieczeństwo.
Nieco wcześniej w tym miesiącu firma usunęła lukę typu zero-day w swojej aplikacji Windows, która mogła umożliwić atakującemu wykonanie dowolnego kodu na komputerze ofiary z systemem Windows 7 lub starszym. Naprawiono również osobną lukę, która mogła pozwolić atakującym na podszywanie się pod organizację i nakłonienie jej pracowników lub partnerów biznesowych do ujawnienia osobistych lub innych poufnych informacji za pomocą ataków socjotechnicznych.
Tak czy inaczej, problemy z bezpieczeństwem platformy Zoom na przestrzeni ostatnich kilku miesięcy były wyraźnie zauważalne. Pytania: czy jest to tylko związane ze wzmożoną aktywnością użytkowników? Czy może należy zmniejszyć zaufanie do tej aplikacji? Czy dalej traktować Zoom jako narzędzie do wymiany poufnych informacji? Te pytania pozostawiamy bez odpowiedzi. Sam, Drogi Czytelniku, musisz podjąć decyzje.