Vzhľadom na nedávnu pandémiu koronavírusov bolo veľa ľudí nútených pracovať doma. Pokiaľ ide o interpersonálne stretnutia, spoločnosti museli nájsť riešenie, ktoré by im umožnilo príliš lacno uskutočňovať telefónne konferencie. Zoom bol riešením, ktoré bolo prijaté a odporúčané na celom svete až do bodu, keď sa Zoom používa pre podnikanie aj vzdelávanie.
Bohužiaľ, priblíženie nie je príliš bezpečné. Výskumníci v oblasti bezpečnosti to dokázali vyvinúť nástroj, ktorý dokáže zhromažďovať informácie zo stretnutí Zoom,
Čo robí tento nástroj?
Keď niekto vytvorí novú schôdzku so zoomom, dostane jedinečný identifikátor. Hostiteľ potom môže zdieľať tento identifikátor s ľuďmi, s ktorými chce stretnúť. Účastníci potom na svojej stránke zadajú ID a vstúpia do miestnosti.
Výskumníci v oblasti bezpečnosti vyvinuli zWarDial, nástroj, ktorý prehľadáva tieto ID kvôli informáciám. Tento nástroj dokázal nájsť legitímne ID schôdzky 14 percent času, čo je celkom pôsobivé vzhľadom na to, ako sú ID priblíženia dlhé deväť až jedenásť číslic.
Nástroj našiel asi 100 stretnutí za hodinu, ktoré nemali blokovanie heslom. Z týchto stretnutí nástroj dokázal získať informácie o nich. Tieto informácie zahŕňajú, kto začal stretnutie a aká bola téma stretnutia.
Prečo je to zlé?
Tento nedostatok je zlý z dvoch dôvodov: bombardovanie a špionáž s transfokáciou.
Bombardovanie zoomu je, keď jednotlivec alebo skupina zaútočí na otvorené stretnutie Zoom. Atentátniky Zoom často kričia obscénne komentáre na účastníkov a zobrazujú urážlivé obrázky pomocou funkcie zdieľania obrazovky Zoomu.
Pretože tento nástroj konkrétne nájde stretnutia, na ktorých nie je zadané žiadne heslo, môže Zoom Bombers odobrať ID z nástroja a použiť ho na napadnutie stretnutia bez zastavenia.
Nie každý sa však obáva, že spôsobí problémy. Pomocou informácií o hostiteľovi a téme stretnutia môžu škodliví agenti získať úniky informácií od spoločnosti, ktorá stretnutie usporadúva. Ak sa agent chcel dozvedieť viac, mohol by sa pokúsiť preniknúť na nechránenú schôdzku a získať ďalšie informácie.
Zvýšte bezpečnosť stretnutí
Našťastie tento nástroj vytvoril výskumný pracovník v oblasti bezpečnosti s názvom Trent Lo. Aj keď je táto chyba dosť desivá, objavila ju niekto, kto chce ukázať a upozorniť ostatných na problém, skôr ako ho využiť.
Lo ďalej hovoril, že pretože nástroj dokázal získať informácie iba zo stretnutí, ktoré nie sú chránené heslom, najlepším spôsobom, ako poraziť útok, bolo nastaviť heslo pri každom konferenčnom hovore Zoom. To znemožnilo zWarDial uchopiť podrobnosti.
V reakcii na vývoj zWarDial, Zoom povedal:
Zoom dôrazne nabáda používateľov, aby implementovali heslá pre všetky svoje stretnutia, aby sa zaistilo, že sa k nemu nebudú môcť pripojiť nezvaní.
Heslá pre nové stretnutia sú predvolene povolené od konca minulého roka, pokiaľ sa vlastníci účtu alebo správcovia neodhlásili. Preskúmame jedinečné prípady okrajov s cieľom zistiť, či používatelia, ktorí nie sú pripojení k vlastníkovi účtu alebo správcovi, pravdepodobne nedostali heslá, ktoré boli počas zmeny predvolene povolené.
Aj keď je vhodné zdieľať odkaz na schôdzku bez hesla, vždy ho nastavte tak, aby ste zabránili invazi ľudí do vášho konferenčného hovoru.
Aby ste boli pri priblížení v bezpečí
Po vypuknutí koronavírusu sa zväčšila popularita zoomu, jeho bezpečnosť však musí byť čo najviac požadovaná. Dokazuje to zWarDial, nástroj vytvorený výskumníkmi, ktorý môže zbierať informácie z nechránených zasadacích miestností. Nastavením hesla môžete ochrániť svoje vlastné stretnutia pred týmto útokom. Prípadne môžete použiť ďalšie nástroje na videokonferencie s lepšou bezpečnosťou.
Je tento článok užitočný?
