Bag u Zoomu omogućava hakerima da provale lozinku za Zoom sastanak za samo nekoliko minuta

Vesti, 31.07.2020, 08:00 AM

Bag u Zoomu omogućava hakerima da provale lozinku za Zoom sastanak za samo nekoliko minuta

Popularna aplikacija Zoom ispravila je sigurnosni propust koji je omogućavao potencijalnim napadačima da dekodiraju numeričku šifru koja se koristi za zaštitu privatnih sastanaka na platformi i da špijuniraju učesnike.

Zoom sastanci su podrazumevano zaštićeni lozinkom koja se sastoji od šest cifara, ali Tom Entoni iz SearchPilota, je otkrio problem koji se ogleda u tome da potencijalni napadač može da isproba milion lozinki za nekoliko minuta i na kraju dobije pristup privatnim, lozinkom zaštićenim Zoom sastancima.

Treba napomenuti da je Zoom počeo da traži lozinku za sve sastanke još u aprilu kao preventivnu meru u borbi protiv tada aktuelnih “Zoom-bombing” napada, koji rezultiraju ometanjem i preuzimanjem sastanaka od strane nepozvanih osoba koje mogu (što se i dešavalo) da dele neprimereni sadržaj.

Entoni je obavestio Zoom o bezbednosnom problemu 1. aprila 2020. godine, a nedelju dana nakon toga, Zoom je 9. aprila ispravio grešku.

Činjenica da su sastanci zaštićeni šestocifrenim kodom znači da može biti samo milion lozinki. Ali ako nema provere za ponovljene pogrešne pokušaje unosa lozinke, napadač može iskoristiti Zoomov veb klijent i neprestano slati HTTP zahteve kako bi isprobao svih milion kombinacija za svega nekoliko minuta.

Entoni je takođe otkrio da se isti postupak može primeniti i sa zakazanim sastancima. Budući da napadač ne mora da isproba svih milion lozinki, možda mu neće biti potrebno mnogo vremena da bi provalio lozinku. Entoni je ukazao i na to da Zoom privatni sastanci uvek imaju istu lozinku. Zato je napadačima dovoljno da jednom krekuju lozinku, posle čega mogu imati trajan pristup budućim sesijama.

Sam Entoni je demonstrirajući kako funkcioniše napad uspeo da krekuje lozinku za 25 minuta pošto je isprobao 91000 lozinki.

Entoni je otkrio još jedan problem tokom procesa prijave na veb sajt pomoću veb klijenta, koji koristi privremeno preusmeravanje kako bi se od korisnika zatražio pristanak na uslove servisa i politiku privatnosti.

Zoom koji se u jeku pandemije korona virusa suočio sa ogromnim porastom broja korisnika ali i kritikama zbog niza bezbednosnih problema, uglavnom brzo rešava bagove.

Nešto ranije ovog meseca, kompanija je u svojoj Windows aplikaciji ispravila grešku koja bi napadaču mogla omogućiti izvršavanje proizvoljnog koda na računaru žrtve sa operativnim sistemom Windows 7.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Napadi hakera na proizvođača vakcine za COVID-19, kompaniju AstraZeneca

Napadi hakera na proizvođača vakcine za COVID-19, kompaniju AstraZeneca

Hakeri iz Severne Koreje pokušali su da provale u sisteme britanskog proizvođača lekova AstraZeneca, kompanije koja je trenutno u žiži javnosti k... Dalje

Policija sprečila krađu 40 miliona evra akcijom protiv sajtova za trgovinu ukradenim platnim karticama

Policija sprečila krađu 40 miliona evra akcijom protiv sajtova za trgovinu ukradenim platnim karticama

Italijanska i mađarska policija, uz podršku britanske policije i Europola, sprečile su gubitke od oko 40 miliona evra pojedinaca i kompanija, akcij... Dalje

Sophos obaveštava korisnike da su procureli podaci onih koji su kontaktirali korisničku podršku

Sophos obaveštava korisnike da su procureli podaci onih koji su kontaktirali korisničku podršku

Proizvođač rešenja za zaštitu informacionih sistema sa sedištem u Velikoj Britaniji, kompanija Sophos, trenutno šalje email obaveštenja svojim ... Dalje

Robot usisivači vas mogu prisluškivati

Robot usisivači vas mogu prisluškivati

Ako planirate kupovinu, ili maštate o robot usisivaču, možda bi trebalo da imate na umu otkriće naučnika koji kažu da robot usisivači mogu pris... Dalje

Otkriveno kako je hakovano više od 300000 Spotify naloga

Otkriveno kako je hakovano više od 300000 Spotify naloga

Korisnici su se godinama žalili da su im Spotify nalozi hakovani a lozinke promenjene, da im se nove plejliste pojavljuju na profilima ili su njihovi... Dalje