Кажется, вряд ли может пройти день без обнаружения новых уязвимостей Zoom, а сегодня будет раскрыта не одна, а еще две …

The Verge сообщает, что группа специалистов по безопасности смогла использовать атаки методом грубой силы, чтобы получить доступ к конфиденциальной информации о почти 2400 собраниях Zoom за один день.
Согласно новому отчету эксперта по безопасности Брайана Кребса, автоматизированный инструмент, разработанный исследователями в области безопасности, может найти около 100 идентификаторов собраний Zoom в час и информацию для почти 2400 собраний Zoom за один день сканирования.
Специалист по безопасности Трент Ло и члены SecKC, группы безопасности в Канзас-Сити, создали программу под названием zWarDial, которая может автоматически угадывать идентификаторы собраний Zoom длиной от 9 до 11 цифр и получать информацию об этих собраниях, согласно отчету. ,
Ло сказал Кребсу о безопасности, кроме того, что он способен находить около 100 собраний в час, и один экземпляр zWarDial может успешно определять допустимый идентификатор собрания в 14% случаев. И как часть почти 2400 предстоящих или повторяющихся собраний Zoom, обнаруженных zWarDial за один день сканирования, программа извлекла ссылку Zoom собрания, дату и время, организатора собрания и тему собрания, согласно данным Lo, предоставленным Кребсу по безопасности.
Число было настолько велико, что заставило Zoom задуматься, не работает ли его действие по требованию ввода паролей по умолчанию.
«Пароли для новых собраний были включены по умолчанию с конца прошлого года, если владельцы аккаунтов или администраторы не отказались. Мы рассматриваем уникальные крайние случаи, чтобы определить, могли ли при определенных обстоятельствах пользователи, не связанные с владельцем учетной записи или администратором, не включать пароли по умолчанию во время внесения изменений ».
Кроме того, The Intercept сообщает, что шифрование Zoom имеет серьезные недостатки.
Совещания на Zoom, все более популярной службе видеоконференций, шифруются с использованием алгоритма с серьезными, хорошо известными недостатками, а иногда и с использованием ключей, выдаваемых серверами в Китае, даже когда все участники собрания находятся в Северной Америке, считают исследователи из Университета. Торонто […]
Они заключают […] что услуга Zoom «не подходит для секретов» и что по закону может быть необходимо раскрывать ключи шифрования китайским властям и «реагировать на давление» с их стороны.
Университет также обнаружил, что используемая форма шифрования слабее, чем утверждает Zoom, и является особенно плохой реализацией более слабого стандарта.
Компания утверждает, что собрания Zoom защищены 256-битными ключами AES, но исследователи из Citizen Lab подтвердили, что используемые ключи на самом деле являются только 128-битными. Такие ключи до сих пор считаются безопасными, но за последнее десятилетие многие компании перешли на 256-битные ключи.
Кроме того, Zoom шифрует и дешифрует с помощью AES с использованием алгоритма, называемого режимом электронной кодовой книги (ECB), «который, как хорошо понимают, является плохой идеей, поскольку этот режим шифрования сохраняет шаблоны на входе», согласно исследователям из Citizen Lab. На самом деле, ЕЦБ считается худшим из доступных режимов AES.
Компания отвечает, но если вы еще не используете одну из множества альтернатив, последние уязвимости Zoom могут убедить вас сделать это. Похоже, среди моих технических друзей, популярным вариантом является.
FTC: Мы используем автоматические партнерские ссылки для заработка. Больше.
Проверьте 9to5Mac на YouTube, чтобы узнать больше новостей Apple:

blank

Читайте также:
Вышло обновление улучшения зарядки Huawei FreeBuds 3 для глобальных пользователей - Huawei Central