Bag u Zoomu omogućava hakerima da provale lozinku za Zoom sastanak za samo nekoliko minuta

Vesti, 31.07.2020, 08:00 AM

Bag u Zoomu omogućava hakerima da provale lozinku za Zoom sastanak za samo nekoliko minuta

Popularna aplikacija Zoom ispravila je sigurnosni propust koji je omogućavao potencijalnim napadačima da dekodiraju numeričku šifru koja se koristi za zaštitu privatnih sastanaka na platformi i da špijuniraju učesnike.

Zoom sastanci su podrazumevano zaštićeni lozinkom koja se sastoji od šest cifara, ali Tom Entoni iz SearchPilota, je otkrio problem koji se ogleda u tome da potencijalni napadač može da isproba milion lozinki za nekoliko minuta i na kraju dobije pristup privatnim, lozinkom zaštićenim Zoom sastancima.

Treba napomenuti da je Zoom počeo da traži lozinku za sve sastanke još u aprilu kao preventivnu meru u borbi protiv tada aktuelnih “Zoom-bombing” napada, koji rezultiraju ometanjem i preuzimanjem sastanaka od strane nepozvanih osoba koje mogu (što se i dešavalo) da dele neprimereni sadržaj.

Entoni je obavestio Zoom o bezbednosnom problemu 1. aprila 2020. godine, a nedelju dana nakon toga, Zoom je 9. aprila ispravio grešku.

Činjenica da su sastanci zaštićeni šestocifrenim kodom znači da može biti samo milion lozinki. Ali ako nema provere za ponovljene pogrešne pokušaje unosa lozinke, napadač može iskoristiti Zoomov veb klijent i neprestano slati HTTP zahteve kako bi isprobao svih milion kombinacija za svega nekoliko minuta.

Entoni je takođe otkrio da se isti postupak može primeniti i sa zakazanim sastancima. Budući da napadač ne mora da isproba svih milion lozinki, možda mu neće biti potrebno mnogo vremena da bi provalio lozinku. Entoni je ukazao i na to da Zoom privatni sastanci uvek imaju istu lozinku. Zato je napadačima dovoljno da jednom krekuju lozinku, posle čega mogu imati trajan pristup budućim sesijama.

Sam Entoni je demonstrirajući kako funkcioniše napad uspeo da krekuje lozinku za 25 minuta pošto je isprobao 91000 lozinki.

Entoni je otkrio još jedan problem tokom procesa prijave na veb sajt pomoću veb klijenta, koji koristi privremeno preusmeravanje kako bi se od korisnika zatražio pristanak na uslove servisa i politiku privatnosti.

Zoom koji se u jeku pandemije korona virusa suočio sa ogromnim porastom broja korisnika ali i kritikama zbog niza bezbednosnih problema, uglavnom brzo rešava bagove.

Nešto ranije ovog meseca, kompanija je u svojoj Windows aplikaciji ispravila grešku koja bi napadaču mogla omogućiti izvršavanje proizvoljnog koda na računaru žrtve sa operativnim sistemom Windows 7.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

I posle Googleove zabrane, aplikacije za špijuniranje telefona i dalje se reklamiraju u Google pretrazi

I posle Googleove zabrane, aplikacije za špijuniranje telefona i dalje se reklamiraju u Google pretrazi

Nekoliko kompanija koje nude aplikacije za špijuniranje telefona, poznatih kao “stalkerware”, i dalje se reklamiraju u rezultatima Google... Dalje

Zbog baga u Chromeu milijarde korisnika u riziku od krađe podataka

Zbog baga u Chromeu milijarde korisnika u riziku od krađe podataka

Ako niste ažurirali Chrome, Operu ili Edge na najnoviju dostupnu verziju, bilo bi dobro da to uradite što pre. Istraživači firme PerimeterX u pone... Dalje

Obaveštajna agencija poznata po praćenju otkriva kako mobilni telefoni odaju gde se nalazite

Obaveštajna agencija poznata po praćenju otkriva kako mobilni telefoni odaju gde se nalazite

Agencija poznata po svojim kontroverznim nadzornim aktivnostima objavila je preporuke kako korisnici mobilnih telefona mogu ograničiti praćenje. Mob... Dalje

TeamViewer ima ozbiljnu ranjivost koja omogućava napadačima da hakuju Windows

TeamViewer ima ozbiljnu ranjivost koja omogućava napadačima da hakuju Windows

Ako koristite TeamViewer, proverite da li koristite najnoviju verziju popularnog softvera za povezivanje na daljinu za Windows. TeamViewer je nedavno ... Dalje

Posle Trampove uredbe o zabrani, i Twitter želi da kupi TikTok

Posle Trampove uredbe o zabrani, i Twitter želi da kupi TikTok

Opstanak TikToka u SAD je pod znakom pitanja pošto je američki predsednik Donald Tramp prošle nedelje potpisao uredbu kojom se američkim kompanija... Dalje