Bag u Zoomu omogućava hakerima da provale lozinku za Zoom sastanak za samo nekoliko minuta
Vesti, 31.07.2020, 08:00 AM
Popularna aplikacija Zoom ispravila je sigurnosni propust koji je omogućavao potencijalnim napadačima da dekodiraju numeričku šifru koja se koristi za zaštitu privatnih sastanaka na platformi i da špijuniraju učesnike.
Zoom sastanci su podrazumevano zaštićeni lozinkom koja se sastoji od šest cifara, ali Tom Entoni iz SearchPilota, je otkrio problem koji se ogleda u tome da potencijalni napadač može da isproba milion lozinki za nekoliko minuta i na kraju dobije pristup privatnim, lozinkom zaštićenim Zoom sastancima.
Treba napomenuti da je Zoom počeo da traži lozinku za sve sastanke još u aprilu kao preventivnu meru u borbi protiv tada aktuelnih “Zoom-bombing” napada, koji rezultiraju ometanjem i preuzimanjem sastanaka od strane nepozvanih osoba koje mogu (što se i dešavalo) da dele neprimereni sadržaj.
Entoni je obavestio Zoom o bezbednosnom problemu 1. aprila 2020. godine, a nedelju dana nakon toga, Zoom je 9. aprila ispravio grešku.
Činjenica da su sastanci zaštićeni šestocifrenim kodom znači da može biti samo milion lozinki. Ali ako nema provere za ponovljene pogrešne pokušaje unosa lozinke, napadač može iskoristiti Zoomov veb klijent i neprestano slati HTTP zahteve kako bi isprobao svih milion kombinacija za svega nekoliko minuta.
Entoni je takođe otkrio da se isti postupak može primeniti i sa zakazanim sastancima. Budući da napadač ne mora da isproba svih milion lozinki, možda mu neće biti potrebno mnogo vremena da bi provalio lozinku. Entoni je ukazao i na to da Zoom privatni sastanci uvek imaju istu lozinku. Zato je napadačima dovoljno da jednom krekuju lozinku, posle čega mogu imati trajan pristup budućim sesijama.
Sam Entoni je demonstrirajući kako funkcioniše napad uspeo da krekuje lozinku za 25 minuta pošto je isprobao 91000 lozinki.
Entoni je otkrio još jedan problem tokom procesa prijave na veb sajt pomoću veb klijenta, koji koristi privremeno preusmeravanje kako bi se od korisnika zatražio pristanak na uslove servisa i politiku privatnosti.
Zoom koji se u jeku pandemije korona virusa suočio sa ogromnim porastom broja korisnika ali i kritikama zbog niza bezbednosnih problema, uglavnom brzo rešava bagove.
Nešto ranije ovog meseca, kompanija je u svojoj Windows aplikaciji ispravila grešku koja bi napadaču mogla omogućiti izvršavanje proizvoljnog koda na računaru žrtve sa operativnim sistemom Windows 7.
Izdvojeno
Novi macOS malver ClickLock krade podatke uz pomoć korisnika
Istraživači kompanije Group-IB otkrili su novi macOS malver pod nazivom ClickLock Stealer, koji za kompromitovanje uređaja ne koristi ranjivosti op... Dalje
Chrome ekstenzija sa skoro milion korisnika uklonjena zbog sumnjivog prikupljanja podataka
Google je uklonio popularnu Chrome ekstenziju ModHeader iz Chrome Web Store-a nakon što su istraživači kompanije Stripe otkrili skrivene funkcional... Dalje
LastPass upozorava na fišing kampanju koja koristi lažna bezbednosna obaveštenja
Kompanija LastPass je upozorila korisnike na novu fišing kampanju u kojoj napadači koriste lažna bezbednosna obaveštenja kako bi ih usmerili na zl... Dalje
Apple upozorava: prevaranti sve češće koriste FaceTime za krađu podataka i novca korisnika
Apple je upozorio korisnike iPhone i iPad uređaja da svaki neočekivani FaceTime poziv, poruku ili zahtev za deljenje ličnih podataka tretiraju kao ... Dalje
Novi Android malver RedHook koristi Wireless ADB za preuzimanje kontrole nad telefonom
Istraživači kompanije Group-IB upozoravaju na novu verziju Android malvera RedHook, koja koristi funkciju Wireless ADB kako bi stekla privilegije zn... Dalje
Pratite nas
Nagrade






Pratite nas preko RSS-a





