| 3 апр 2020 г. — 5:34 утра по тихоокеанскому времени
Кажется, почти ни один день не проходит без обнаружения новых уязвимостей Zoom – сегодня были раскрыты не одна, а две новые…
The Verge сообщает, что группа специалистов по безопасности смогла использовать атаки методом перебора, чтобы получить доступ к конфиденциальным данным почти 2400 конференций Zoom за один день.
Автоматизированный инструмент, разработанный исследователями безопасности, способен находить около 100 идентификаторов конференций Zoom в час и получать информацию почти о 2400 конференциях Zoom за один день сканирования, согласно новому отчету эксперта по безопасности Брайана Кребса.
Специалист по безопасности Трент Ло и члены SecKC, группы встреч по безопасности в Канзас-Сити, создали программу под названием zWarDial, которая может автоматически угадывать идентификаторы конференций Zoom, состоящие из девяти-одиннадцати цифр, и собирать информацию об этих конференциях, согласно отчету.
В дополнение к возможности находить около 100 конференций в час, один экземпляр zWarDial успешно определяет действительный идентификатор конференции в 14% случаев, как сообщил Ло изданию Krebs on Security. И в рамках почти 2400 предстоящих или повторяющихся конференций Zoom, найденных zWarDial за один день сканирования, программа извлекла ссылку на конференцию Zoom, дату и время, организатора конференции и тему конференции, согласно данным, которыми Ло поделился с Krebs on Security.
Число оказалось настолько большим, что Zoom задумался, не работает ли их действие по требованию паролей по умолчанию.
«Пароли для новых конференций включены по умолчанию с конца прошлого года, если владельцы учетных записей или администраторы не отказались от них. Мы изучаем уникальные крайние случаи, чтобы определить, не были ли пароли включены по умолчанию для пользователей, не связанных с владельцем учетной записи или администратором, в момент внесения этого изменения».
Кроме того, The Intercept сообщает, что шифрование Zoom имеет серьезные недостатки.
Конференции в Zoom, все более популярном сервисе видеоконференцсвязи, шифруются с использованием алгоритма с серьезными, общеизвестными слабостями, а иногда с использованием ключей, выданных серверами в Китае, даже когда участники конференции находятся в Северной Америке, согласно исследователям из Университета Торонто […]
Они заключают […] что сервис Zoom «не подходит для секретов» и что он может быть юридически обязан раскрывать ключи шифрования китайским властям и «реагировать на давление» с их стороны.
Университет также обнаружил, что используемая форма шифрования слабее, чем утверждает Zoom, и является особенно плохой реализацией более слабого стандарта.
Компания утверждает, что конференции Zoom защищены с использованием 256-битных AES-ключей, но исследователи Citizen Lab подтвердили, что используемые ключи на самом деле имеют длину всего 128 бит. Такие ключи по-прежнему считаются надежными сегодня, но за последнее десятилетие многие компании вместо этого перешли на 256-битные ключи.
Более того, Zoom шифрует и дешифрует с помощью AES, используя алгоритм под названием Electronic Codebook (ECB) mode, «который, как известно, является плохой идеей, поскольку этот режим шифрования сохраняет закономерности во входных данных», согласно исследователям Citizen Lab. На самом деле, ECB считается худшим из доступных режимов AES.
Компания реагирует, но если вы еще не используете одну из многих альтернатив, последние уязвимости Zoom могут убедить вас сделать это. Среди моих друзей-технарей Whereby, похоже, является популярным выбором.