Gorozhanin.com.ua

Баг в Zoom позволял за считанные минуты взломать код доступа

Август 01
14:28 2020

Отсутствие ограничений на количество попыток ввода пароля в web-клиенте Zoom позволяло злоумышленникам быстро подбирать коды доступа, используемые для защиты встреч.

По словам специалиста компании SearchPilot Тома Энтони (Tom Anthony), встречи в Zoom по умолчанию были защищены шестизначным кодом, а значит, что существовало 1 млн возможных комбинаций. На перебор такого количества кодов в поисках нужного у злоумышленника уйдет всего несколько минут. Более того, повторяющиеся встречи имеют один и тот же код, поэтому его достаточно взломать лишь один раз.

На взлом кода у самого Энтони ушло 25 минут. Для этого ему потребовалась машина AWS и 91 тыс. попыток. «С помощью улучшенной организации потоков и распределения между 4-5 облачными серверами можно проверить все пространство паролей за несколько минут», — отметил исследователь.

Энтони уведомил производителя о проблеме 1 апреля 2020 года и предоставил PoC-эксплоит на базе Python. 2 апреля web-клиент Zoom был отключен для исправления уязвимости. Спустя неделю компания решила проблему, введя обязательную авторизацию для пользователей перед подключением к встрече в web-клиенте и обновив пароли по умолчанию, чтобы они не были числовыми и были длиннее.

Источник: securitylab.ru

Share

Статьи по теме

Последние новости

«У них были выборы без выборов: в Запорожье провели акцию в поддержку протестующих в Беларуси, — ФОТОРЕПОРТАЖ

Читать всю статью

Мы в соцсетях