MWC 2018
2018
Computex
IFA 2018
Специалисты компании Check Point Research, работающей в сфере информационной безопасности, сообщили об обнаружении уязвимости в платформе видеоконференцсвязи Zoom. Она могла использоваться злоумышленниками для подключения к чужим конференциям без приглашения, а также сбора разного рода информации и копирования файлов, передаваемых участниками видеоконференции в процессе беседы.
Вызовам, совершаемым внутри платформы Zoom, присваиваются цифровые идентификаторы длиной от 9 до 11 символов. Они используются участниками конференции для поиска и присоединения к нужному вызову. В ходе исследования специалисты Check Point разработали метод, позволяющий примерно в 4 % случаев присоединиться к конференциям других пользователей. Исследователи отмечают, что они не прослушивали разговоры, завершая вызов после попадания в «комнату ожидания».
«Это было похоже на рулетку Zoom. Смысл заключается в том, что, если вы проводите видеоконференцию с несколькими участниками, вы можете не заметить, что кто-то, кого не должно там быть, подключился и слушает вас», — сказал глава отдела кибер-исследований Check Point Янив Балмас (Yaniv Balmas).
Поскольку конференции в Zoom могут вмещать «десятки тысяч» участников в одном собрании, злоумышленники могли незаметно присоединиться к беседе без предварительного уведомления в случае, если не предпринимаются меры по дополнительной проверке участников. В отчёте говорится, что специалисты компании не смогли связать идентификатор конференции на платформе Zoom с каким-либо конкретным пользователем. Это означает, что даже если злоумышленник сумеет получить доступ к случайной конференции, до присоединения к беседе он не будет знать, кто её организовал и кто проводит.
Специалисты Check Point сообщили о проблеме в Zoom, после чего она была оперативно решена. Случайная генерация идентификаторов была заменена «криптографически надёжной». Кроме того, в идентификаторы были добавлены дополнительные знаки, а для подключения к конференции введена обязательная идентификация по паролю. Таким образом, метод подбора идентификаторов, используемый в ходе исследования Check Point, больше не актуален.
Источник:
Обзор TECNO MEGABOOK S1: бизнес-класс без недостатков
82
NVIDIA заявила, что нативное разрешение в играх больше не имеет значения — будущее за ИИ-масштабированием
80
Минпромторг проверит, почему российский чип в отечественном мониторе можно заменить проволокой
65
«Почти как в жизни»: блогер показал разницу в графике Cyberpunk 2077 при DLSS 3 и DLSS 3.5 с реконструкцией лучей
27
Подписаться