zoom漏洞允許駭客竊聽通話
網路安全研究公司Check Point research在今天釋出的一份報告中稱,該公司發現影片會議平臺Zoom存在安全缺陷,可能會允許潛在駭客在未經邀請的情況下加入影片會議併進行監聽,從而有可能訪問會議期間共享的任何檔案或資訊。儘管Zoom已經解決了這個問題,但該報告對需要使用麥克風和攝像頭的影片會議應用程式的安全性提出了更深層次的擔憂。
每個Zoom呼叫都有一個隨機生成的ID號,長度在9到11位之間,參與者使用它作為一種地址來定位和加入特定的呼叫。Check Point的網路研究主管Yaniv Balmas說,Check Point的研究人員發現了一種方法,可以在大約4%的時間裡預測哪些會議是有效的,並且能夠加入一些會議。(巴爾馬斯強調,他們自己並沒有投入到會議中。相反,他們在“等候室”螢幕上結束了通話。)
“這有點像縮放輪盤賭,”巴爾馬斯告訴《邊緣報》。“這意味著,如果您正在進行影片聊天,並且有多個成員加入,您可能不會註意到不應該在那裡的人是否坐在那裡聽您講話。”
由於Zoom電話會議可以容納“數萬”與會者參加一次會議,根據該公司5月份的IPO,如果沒有採取篩選措施,攻擊者就不難在未經通知的情況下潛入Zoom電話會議。
檢查點未找到將縮放會議ID與特定使用者連線的方法。因此,即使一個糟糕的演員獲得了一個隨機會議的機會,他們也不一定在加入電話之前知道是誰的會議。研究人員沒有發現,一個人進入一個變焦會議將訪問其他使用者的相機或麥克風。
checkpoint披露了Zoom的漏洞,並表示該公司很快做出反應,解決了這個問題。它用一個“加密性強”的會議ID號取代了隨機生成的會議ID號,為會議ID號添加了更多的數字,並將需要密碼作為未來會議的預設設定。(不過,一個帶有檢查點的Zoom電話討論研究時,我並不需要在加入之前輸入密碼。)
不再可能像檢查點研究人員那樣掃描隨機會議ID;每次嘗試加入都會載入一個會議頁面,重覆嘗試掃描會議ID將暫時阻止該裝置進入平臺。
Zoom的一位發言人說,這個問題的檢查點已於8月份得到解決,並補充說,使用者的隱私和安全是其首要任務。“我們感謝CheckPoint團隊與我們分享他們的研究成果和合作,”該公司表示。
總部位於聖何塞的Zoom成立於2011年,市值略低於200億美元,客戶遍佈180多個國家。該公司在上個月釋出的第三季度財報中表示,其客戶群包括7.4萬家規模可觀的企業,按擁有10名以上員工的企業計算。
去年夏天,安全研究員Jonathan leitschhuh在Macs上發現了一個Zoom的零日漏洞,這個漏洞可能會讓一個壞演員劫持使用者的相機和直播。該公司最終停止使用造成該漏洞的本地web伺服器,但在第一次將其作為“低風險”情況進行辯護之後就沒有了。
巴爾馬斯說,CheckPoint的研究人員專門關註Zoom及其會議ID號碼,並沒有調查該漏洞是否會出現在其他影片聊天程式中,如Google Hangouts或Skype。但他提醒說,任何影片會議平臺都存在固有風險,即使使用者採取了必要的安全防範措施。
他說:“我們沒有研究(其他影片會議平臺),但我們在這裡發現的是對他們的一種呼喊。”。“您必須註意這些事情,註意未經授權的使用者可以訪問的方式,註意任何可以訪問您的麥克風或相機的應用程式。”
- 發表於 2021-04-20 17:54
- 閱讀 ( 32 )
- 分類:網際網路
你可能感興趣的文章
如何透過在android應用程式中發現安全問題來賺取現金
...題的開發者。它還為在Chrome瀏覽器或Chrome作業系統中發現漏洞提供獎勵。但最近它採取了更激進的措施,為其他公司應用程式中發現的漏洞提供獎勵。 ...
如何修復允許駭客檢視你照片的ios漏洞
iOS最新版本中的一個新漏洞允許竊賊繞過你的密碼檢視你iPhone和iPad上的照片! ...
閥門解決了蒸汽安全漏洞
有訊息稱,一些Steam遊戲存在安全漏洞,可能導致玩家的機器對駭客開放。 ...
zoom使用安全嗎?需要考慮的6個隱私問題
... 6無盡的安全漏洞 ...
研究人員發現微軟商店遊戲存在安全漏洞
...幸的是,該公司忽視了這個過程中的一個關鍵缺陷。一個漏洞允許駭客使用從Windows應用商店下載的遊戲在某人的電腦上獲得更高的許可權,但修復程式已經可用。 ...
如何使用facebook的messenger rooms:初學者指南
...幕上,您將看到一些可以修改的設定。“房間活動”選項允許您為房間指定標籤。 ...
微軟2020年8月的補丁修復了120個安全漏洞
...丁,因為它修復了微軟作業系統和相關軟體中的120個安全漏洞。 ...
2019年你的藍芽裝置會被駭客入侵嗎?
...,偷藍,還是偷藍?以下是保護裝置所需的資訊。 藍芽漏洞比比皆是 乍一看,使用藍芽似乎有相當大的風險。在最近的DefCon27安全會議上,與會者被建議在他們的裝置上禁用藍芽。當然,如果你在一個相當小的場所被成千上萬...
《每日新聞》綜合報道,4/14/19:大哥在看
...echCrunch,邊緣] 在相關新聞中,internetexplorer中有一個安全漏洞,允許駭客訪問(並帶走)你的檔案。即使你不用IE.Oof。[英加傑] 好訊息:微軟為edgecanary增加了更多的搜尋選項。如果你不喜歡Bing作為你的唯一選擇,你現在可以把G...
facebook的50人zoom備選方案messenger rooms現已推出
...影片通話功能功能功能的功能更加豐富和擴充套件版,它允許多達50人透過Facebook主應用程式或專用Messenger在影片上聊天,無時間限制。 Facebook說,你可以限制誰可以加入,也可以向任何有連結的人公開,即使他們沒...
