Zoom 可無限次嘗試密碼,用 Python 就可駭進去!

Zoom、會議軟體、資訊安全

【為什麼我們要挑選這篇新聞】Zoom 自今年初以來不斷爆出產品有資安問題,如今又再爆出資安漏洞。由於 Zoom 系統允許用戶可以不限次數嘗試密碼,任何潛在的攻擊者,只要使用 Python 代碼來嘗試所有可能的密碼組合,即可進行監聽活動!(責任編輯:呂珈寧)

SearchPilot 產品副總裁 Tom Anthony 近日上載有關應用程式 Zoom 的文章,內容指 Zoom 存在漏洞,即使用戶設置密碼後,其他用戶依然能夠不限次數試密碼,以進入 Zoom 視像會議,衍生監看和監聽的問題。

Tom Anthony 發現,Zoom 會預設 6 位數字密碼給主持和會議參加者;根據統計,這有可能出現 100 萬個不同的密碼組合。而 Zoom 系統允許用戶檢查會議的密碼是否正確,沒有任何嘗試次數的限制 ,這讓攻擊者可以通過嘗試所有可能的密碼組合,直至找到正確的密碼來進入會議。

同時,Tom Anthony 強調, 若攻擊者有意圖進行監聽活動,他們能夠寫出 Python 代碼來嘗試全部 100 萬個可能的密碼組合 。此外,定期會議和個人會議會配置相同的密碼,即是攻擊者只需將密碼破解一次,便可進入日後的視像會議。

Tom Anthony 表示,這引發了個令人困擾的問題,就是攻擊者是否可能已經在使用這個漏洞,來監聽其他用戶的視像會議。Tom Anthony 向 Zoom 報告相關漏洞後,Zoom 便立刻進行了離線維護;Zoom 也要求用戶在網上版 Zoom 中登入並加入會議,並把預設的密碼改為非數字和更長的密碼,來解決這個漏洞。

(本文經合作夥伴 unwire.hk  授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈Zoom 再現安全漏洞 可無限次嘗試會議密碼 〉。首圖來源:unwire.hk )

你可能感興趣

Zoom 的挑戰者來了!Verizon 收購視訊會議平台 BlueJeans,整合 5G 提供遠距學習等方案
【資安爆不完】53 萬 Zoom 帳號出現在暗網上,花旗銀、摩根大通都有中
Zoom 遭禁引發網友 3 種回覆:罵資安、罵中國、罵老師


《TO》品牌活動「CONNECT」深度專題重磅更新! 

《TO》年度品牌活動 CONNECT 2020「5G 新經濟」新專題上線! 看台灣新創如何用 5G 翻轉各產業的傳統想像,打造意想不到的創新服務! 馬上報名 獲取最新深度報導。

點關鍵字看更多相關文章: