Bag u Zoomu omogućava hakerima da provale lozinku za Zoom sastanak za samo nekoliko minuta
Vesti, 31.07.2020, 08:00 AM

Popularna aplikacija Zoom ispravila je sigurnosni propust koji je omogućavao potencijalnim napadačima da dekodiraju numeričku šifru koja se koristi za zaštitu privatnih sastanaka na platformi i da špijuniraju učesnike.
Zoom sastanci su podrazumevano zaštićeni lozinkom koja se sastoji od šest cifara, ali Tom Entoni iz SearchPilota, je otkrio problem koji se ogleda u tome da potencijalni napadač može da isproba milion lozinki za nekoliko minuta i na kraju dobije pristup privatnim, lozinkom zaštićenim Zoom sastancima.
Treba napomenuti da je Zoom počeo da traži lozinku za sve sastanke još u aprilu kao preventivnu meru u borbi protiv tada aktuelnih “Zoom-bombing” napada, koji rezultiraju ometanjem i preuzimanjem sastanaka od strane nepozvanih osoba koje mogu (što se i dešavalo) da dele neprimereni sadržaj.
Entoni je obavestio Zoom o bezbednosnom problemu 1. aprila 2020. godine, a nedelju dana nakon toga, Zoom je 9. aprila ispravio grešku.
Činjenica da su sastanci zaštićeni šestocifrenim kodom znači da može biti samo milion lozinki. Ali ako nema provere za ponovljene pogrešne pokušaje unosa lozinke, napadač može iskoristiti Zoomov veb klijent i neprestano slati HTTP zahteve kako bi isprobao svih milion kombinacija za svega nekoliko minuta.
Entoni je takođe otkrio da se isti postupak može primeniti i sa zakazanim sastancima. Budući da napadač ne mora da isproba svih milion lozinki, možda mu neće biti potrebno mnogo vremena da bi provalio lozinku. Entoni je ukazao i na to da Zoom privatni sastanci uvek imaju istu lozinku. Zato je napadačima dovoljno da jednom krekuju lozinku, posle čega mogu imati trajan pristup budućim sesijama.
Sam Entoni je demonstrirajući kako funkcioniše napad uspeo da krekuje lozinku za 25 minuta pošto je isprobao 91000 lozinki.
Entoni je otkrio još jedan problem tokom procesa prijave na veb sajt pomoću veb klijenta, koji koristi privremeno preusmeravanje kako bi se od korisnika zatražio pristanak na uslove servisa i politiku privatnosti.
Zoom koji se u jeku pandemije korona virusa suočio sa ogromnim porastom broja korisnika ali i kritikama zbog niza bezbednosnih problema, uglavnom brzo rešava bagove.
Nešto ranije ovog meseca, kompanija je u svojoj Windows aplikaciji ispravila grešku koja bi napadaču mogla omogućiti izvršavanje proizvoljnog koda na računaru žrtve sa operativnim sistemom Windows 7.

Izdvojeno
Otkriveno na hiljade lažnih onlajn prodavnica - kupci ostali bez novca na računima

Firma za sajber bezbednost Silent Push otkrila je na hiljade veb sajtova koji se lažno predstavljaju kao sajtovi velikih brendova kao što su Apple i... Dalje
40 lažnih ekstenzija za Firefox krade kriptovalute korisnika

Istraživači sajber bezbednosti iz kompanije Koi Security otkrili su više od 40 ekstenzija za Mozilla Firefox koje kradu privatne ključeve i seed f... Dalje
Budite oprezni: veštačka inteligencija ponekad izmišlja i može vas poslati na lažni veb sajt

Bezbednosni istraživači otkrili su ozbiljan rizik u radu velikih jezičkih modela (LLM), poput popularnih AI asistenata. Naime, kada ih pitate jedno... Dalje
Ažurirajte Chrome odmah: Hakeri koriste ranjivost u veb pregledaču

Google je objavio hitna bezbednosna ažuriranja za Chrome kako bi rešio ozbiljnu ranjivost koja se već zloupotrebljava u napadima. Ovaj „zero-... Dalje
Kada sajber kriminal ubija: Bolnice na udaru ransomware-a
.jpg)
Do skoro, sajber kriminal se uglavnom svodio na krađu podataka ili novca. Ali dva napada ransomware-a na evropske bolnice pokazuju da sajber kriminal... Dalje
Pratite nas
Nagrade