【為什麼我們要挑選這篇新聞】Zoom 自今年初以來不斷爆出產品有資安問題,如今又再爆出資安漏洞。由於 Zoom 系統允許用戶可以不限次數嘗試密碼,任何潛在的攻擊者,只要使用 Python 代碼來嘗試所有可能的密碼組合,即可進行監聽活動!(責任編輯:呂珈寧)
SearchPilot 產品副總裁 Tom Anthony 近日上載有關應用程式 Zoom 的文章,內容指 Zoom 存在漏洞,即使用戶設置密碼後,其他用戶依然能夠不限次數試密碼,以進入 Zoom 視像會議,衍生監看和監聽的問題。
So a few months ago I realised Zoom doesn't rate limit password attempts for meetings, and has only 1 million passwords. Meaning you could join private meetings within minutes. 😮 https://t.co/NDUEmzUprX
— Tom Anthony (@TomAnthonySEO) July 29, 2020
Tom Anthony 發現,Zoom 會預設 6 位數字密碼給主持和會議參加者;根據統計,這有可能出現 100 萬個不同的密碼組合。而 Zoom 系統允許用戶檢查會議的密碼是否正確,沒有任何嘗試次數的限制,這讓攻擊者可以通過嘗試所有可能的密碼組合,直至找到正確的密碼來進入會議。
同時,Tom Anthony 強調,若攻擊者有意圖進行監聽活動,他們能夠寫出 Python 代碼來嘗試全部 100 萬個可能的密碼組合。此外,定期會議和個人會議會配置相同的密碼,即是攻擊者只需將密碼破解一次,便可進入日後的視像會議。
Tom Anthony 表示,這引發了個令人困擾的問題,就是攻擊者是否可能已經在使用這個漏洞,來監聽其他用戶的視像會議。Tom Anthony 向 Zoom 報告相關漏洞後,Zoom 便立刻進行了離線維護;Zoom 也要求用戶在網上版 Zoom 中登入並加入會議,並把預設的密碼改為非數字和更長的密碼,來解決這個漏洞。
(本文經合作夥伴 unwire.hk 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈Zoom 再現安全漏洞 可無限次嘗試會議密碼〉。首圖來源:unwire.hk )
你可能感興趣
Zoom 的挑戰者來了!Verizon 收購視訊會議平台 BlueJeans,整合 5G 提供遠距學習等方案
【資安爆不完】53 萬 Zoom 帳號出現在暗網上,花旗銀、摩根大通都有中
Zoom 遭禁引發網友 3 種回覆:罵資安、罵中國、罵老師
