يبدو أن مشكلات Zoom الأمنية بعيدة عن النهاية. اكتشف توم أنطوني ، محلل أمني ، طريقة للوصول إلى الاجتماعات الخاصة المحمية بكلمة مرور. بعد محاولة الوصول إلى مكالمة فيديو من حكومة المملكة المتحدة ، اكتشف أنتوني وجود خلل في عميل الويب لا يحدد عدد المحاولات الفاشلة عند إدخال المفتاح.
من خلال منشور في مدونته ، يذكر المحلل أن المشكلة عادة ما تكون في كلمة المرور المكونة من ستة أرقام التي يعينها Zoom افتراضيًا لحماية الاجتماعات ، والتي تسمح للمهاجم بفك تشفير المفتاح في دقائق.
أخذ توم أنتوني كنقطة انطلاق اجتماعاً عقده بوريس جونسون رئيس وزراء المملكة المتحدة مع حكومته. من خلال أخذ معرف المكالمة المرئي في لقطة شاشة نشرها جونسون حاول الانضمام إلى مكالمة الفيديو.
في هذه العملية ، اكتشف العديد من التفاصيل ، مثل العدد الافتراضي للأحرف في كلمة المرور وأنه لا يوجد حد للسرعة على المحاولات الفاشلة لاستخدامها. ينتج عن هذا الأخير مشكلة ، حيث يمكن للمهاجم التكرار حتى يحصل على كلمة المرور ويدخل الاجتماع.
على الرغم من عدم وجود حد للمحاولات المتكررة ، إلا أن السرعة محدودة بمدى السرعة التي يمكن بها إجراء طلبات HTTP. من خلال نص برمجي في Phyton يتم تنفيذه من جهاز الكمبيوتر الخاص به ، حصل أنتوني على كلمة المرور في أقل من 30 دقيقة ، وهو وقت يمكن تقليله بشكل كبير إذا تم ذلك باستخدام 4 أو 5 خوادم في السحابة.
يمكن للمهاجم الوصول إلى الاجتماعات المجدولة من خلال توقع كلمة المرور ، وهي عملية يمكن للمستخدم تأخيرها إذا قام بتغيير كلمة المرور قبل المكالمة. هناك مشكلة أخرى تتعلق بالاجتماعات المتكررة نظرًا لأنها تستخدم نفس كلمة المرور. بمجرد فك تشفيرها ، ليست هناك حاجة لتشغيل العملية مرة أخرى.
تم اكتشاف الخلل الأمني قبل أسابيع من قبل محلل الأمن ، الذي أبلغ Zoom بالنتائج التي توصل إليها. شرعت الشركة في قطع اتصال عميل الويب لبضعة أيام لحل الثغرة . وفقًا لأنتوني ، بدا مهندسو الشركة قلقين بشأن أمان المنصة وأعربوا عن تقديرهم لتقريره ، على الرغم من أنه لم يتلق أي مكافأة على الإبلاغ عنها.
أخذ توم أنتوني كنقطة انطلاق اجتماعاً عقده بوريس جونسون رئيس وزراء المملكة المتحدة مع حكومته. من خلال أخذ معرف المكالمة المرئي في لقطة شاشة نشرها جونسون حاول الانضمام إلى مكالمة الفيديو.
على الرغم من عدم وجود حد للمحاولات المتكررة ، إلا أن السرعة محدودة بمدى السرعة التي يمكن بها إجراء طلبات HTTP. من خلال نص برمجي في Phyton يتم تنفيذه من جهاز الكمبيوتر الخاص به ، حصل أنتوني على كلمة المرور في أقل من 30 دقيقة ، وهو وقت يمكن تقليله بشكل كبير إذا تم ذلك باستخدام 4 أو 5 خوادم في السحابة.
يمكن للمهاجم الوصول إلى الاجتماعات المجدولة من خلال توقع كلمة المرور ، وهي عملية يمكن للمستخدم تأخيرها إذا قام بتغيير كلمة المرور قبل المكالمة. هناك مشكلة أخرى تتعلق بالاجتماعات المتكررة نظرًا لأنها تستخدم نفس كلمة المرور. بمجرد فك تشفيرها ، ليست هناك حاجة لتشغيل العملية مرة أخرى.
تم اكتشاف الخلل الأمني قبل أسابيع من قبل محلل الأمن ، الذي أبلغ Zoom بالنتائج التي توصل إليها. شرعت الشركة في قطع اتصال عميل الويب لبضعة أيام لحل الثغرة . وفقًا لأنتوني ، بدا مهندسو الشركة قلقين بشأن أمان المنصة وأعربوا عن تقديرهم لتقريره ، على الرغم من أنه لم يتلق أي مكافأة على الإبلاغ عنها.
ليست هناك تعليقات:
إرسال تعليق