Το δημοφιλές λογισμικό τηλεδιάσκεψης Zoom, ανακάλυψε και επιδιόρθωσε ένα κενό ασφαλείας το οποίο θα μπορούσε να επιτρέψει σε οποιονδήποτε να παρακολουθήσει εξ αποστάσεως μη προστατευμένα meeting και ενδεχομένως να εκθέσει ιδιωτικές συνομιλίες, Video και έγγραφα που μοιράζονται σε όλη τη διάρκεια μιας τηλεδιάσκεψης.
Το Zoom, εκτός από τη φιλοξενία εικονικών συσκέψεων και webinars που προστατεύονται με code πρόσβασης, επιτρέπει επίσης στους users να δημιουργήσουν μια περίοδο σύνδεσης ώστε να μπορούν οι μη εγγεγραμμένοι χρήστες να συμμετέχουν σε μία τηλεδιάσκεψη, χρησιμοποιώντας ένα μοναδικό Meeting ID, χωρίς να χρειάζεται κωδικό ή να το κάνουν μέσω Waiting Rooms.
To Zoom παράγει αυτό το τυχαίο Meeting ID, που μπορεί να αποτελείται από 9, 10 και 11 ψηφία, για κάθε συνάντηση που προγραμματίζετε ή δημιουργείτε. Εάν αυτά τα αναγνωριστικά διαρρεύσουν πέρα από μία ομάδα, τότε μπορούν να επιτρέψουν σε έναν ανεπιθύμητο χρήστη να παρακολουθήσει μία τηλεδιάσκεψη ή webinar.
Προκειμένου να μην επιτρέπει τέτοιες ενέργειες το Zoom εισήγαγε κάποιους πρόσθετους ελέγχους πέρυσι, οι οποίοι σύμφωνα με την check point, ήταν αποτέλεσμα της έρευνας για κενά Security που είχε πραγματοποιήσει η εταιρεία ασφάλειας τον Ιούλιο του 2019.
“Ένας hacker θα μπορούσε να δημιουργήσει μια μακρά λίστα αναγνωριστικών συσκέψεων για το Zoom, να χρησιμοποιήσει τεχνικές αυτοματισμού για να ελέγξει γρήγορα αν ένα αντίστοιχο Zoom Meeting ID ήταν έγκυρο ή όχι και στη συνέχεια να αποκτήσει πρόσβαση σε τηλεδιασκέψεις που δεν ήταν προστατευμένες με κωδικό πρόσβασης”, ισχυρίστηκαν οι ερευνητές.
Ως αποτέλεσμα της αποκάλυψης του Check Point, το Zoom εισήγαγε τις ακόλουθες δυνατότητες και λειτουργίες ασφαλείας στην υπηρεσία τηλεδιάσκεψης που βασίζεται σε cloud:
Προεπιλεγμένοι κωδικοί πρόσβασης - Το Zoom δημιουργεί πλέον αυτόματα από προεπιλογή, έναν εξαψήφιο αριθμητικό κωδικό πρόσβασης για κάθε σύσκεψη που δημιουργείτε, στην οποία οι συμμετέχοντες πρέπει να εισέλθουν εισάγοντας με μη αυτόματο τρόπο το ID της τηλεδιάσκεψης.
Επιβολή κωδικού πρόσβασης σε επίπεδο λογαριασμού και ομάδας – Τρεις νέες ρυθμίσεις κωδικού πρόσβασης είναι τώρα εκτελέσιμες σε επίπεδο λογαριασμού, ομάδας και χρήστη από τον διαχειριστή του λογαριασμού.
Επικύρωση Meeting ID – Το λογισμικό δεν θα υποδεικνύει αυτόματα εάν ένα αναγνωριστικό συσκέψεως είναι έγκυρο ή μη έγκυρο, καθιστώντας έτσι πιο δύσκολο για τα αυτοματοποιημένα σενάρια να καθορίζουν τις ενεργές τηλεδιάσκεψης.
Αποκλεισμός συσκευών – Επαναλαμβανόμενες προσπάθειες σάρωσης για αναγνωριστικά συσκέψεων θα έχουν σαν αποτέλεσμα την παρεμπόδιση επιθέσεων brute force.
