Nauwkeurig! Zoomfout stelt iedereen in staat om privé-videogesprekken te voeren
Het populaire videobelplatform, ZoomIs opnieuw in het middelpunt van de controverse nadat een cybersecurity-analist ontdekte dat ernstige kwetsbaarheid in de service, waarmee aanvallers ontdek het wachtwoord van privévergaderruimtes in slechts een paar minuten.
De analist in kwestie Tom Anthony, legt uit dat hoewel Privévergaderingen in Zoom kunnen worden beveiligd met digitale wachtwoorden van maximaal zes cijfers, de webclient van het platform heeft geen maximale limiet voor pogingen bij het invoeren van de sleutel, waardoor de mogelijkheid om te presteren brute force-aanvallen om de juiste sleutel op te halen die toegang geeft tot de sessie. Het gebruik van zescijferige wachtwoorden houdt in dat er: een miljoen combinaties verschillende die kunnen worden gebruikt.
Brute force-aanvallen, wat zijn het en hoe werken ze? | Als we het hebben over brute force-aanvallen, verwijzen we naar een procedure waarbij wordt geprobeerd een sleutel of wachtwoord te herstellen door alle beschikbare combinaties te proberen, meestal op een geautomatiseerde manier met behulp van systemen die speciaal zijn ontworpen om sleutels binnen een bepaald bereik te genereren.
Door misbruik te maken van dit beveiligingslek, kunnen aanvallers: toegang krijgen tot en luisteren naar privévergaderingen. In die zin legt de aanvaller uit dat het genoeg was om ken de identificatiecode of ID van de oproep en begin verschillende combinaties te proberen totdat je de sleutel vindt.
De Zoom-app is de afgelopen maanden een van de meest gedownloade apps geweest.
Zoom, opnieuw in het middelpunt van de controverse over een ernstige inbreuk op de beveiliging
In de post waarin Anthony de details van dit onderzoek uitlegt, legt hij uit dat, voor krijg wachtwoorden voor privé Zoom-sessies, alles wat hij moest doen was een eenvoudige tool ontwikkelen met behulp van de programmeertaal Python. Bij hem was het mogelijk om controleer elke seconde tot 25 zescijferige wachtwoorden, zodat het vinden van het juiste wachtwoord kan duren minder dan een half uur bij de met behulp van een normale computer, zoals iemand die thuis zou kunnen hebben. Hij legt inderdaad uit dat als je meer geavanceerde technieken hebt gebruikt, de uitvoering van de script op servers in de cloud, het controleren van het volledige toetsenbereik kan maar een paar minuten duren.
Hoewel Zoom heeft begin april op de hoogte gesteld van deze kwetsbaarheid, en kort nadat het probleem was verholpen met de implementatie van een extra beveiligingslaag die dat vereist wachtwoorden zijn niet numeriek en langer dan de oorspronkelijke zes cijfers, de realiteit is dat het zo is weer een steen op weg naar Zoom, een platform dat sinds april van dit jaar zijn explosie in populariteit onderging en verschillende keren in het middelpunt van de belangstelling stond vanwege ernstige inbreuken op de beveiliging en twijfelachtig privacybeleid. Zelfs de CEO van het bedrijf moest aftreden, waarschuwend tegen het voornemen van het bedrijf omsneller handelen om dit soort problemen op te sporen en op te lossen.
"De kwetsbaarheid is al aangepakt met de implementatie van een extra beveiligingslaag."
Hoe dan ook, het lijkt vrij duidelijk dat Zoom is zeer succesvol geweest, en dat de vooruitgang op het gebied van beveiliging en privacy niet snel genoeg lijkt te komen, ondanks de inspanningen van het bedrijf. Het is dus geen verrassing dat alternatieven zoals Google Meet de afgelopen weken met grote sprongen volgers krijgen.
