В свете недавней пандемии коронавируса многие люди были вынуждены работать дома. Когда дело доходит до межличностных встреч, компаниям пришлось найти решение, которое позволило бы им проводить телеконференции недорого. Zoom стал одним из решений, которое было принято и рекомендовано во всем мире до такой степени, что Zoom используется как в бизнесе, так и в образовании.
К сожалению, Zoom не очень безопасен. Исследователи безопасности доказали это, разработав инструмент, который может собирать информацию из собраний Zoom.
Что делает инструмент?
Когда кто-то создает новое собрание Zoom, ему присваивается уникальный идентификатор. Затем организатор может поделиться этим идентификатором с людьми, с которыми он хочет создать встречу. Затем участники вводят идентификатор на своей стороне, чтобы войти в комнату.
Исследователи безопасности разработали zWarDial — инструмент, который сканирует эти идентификаторы в поисках информа
Contents
Что делает инструмент?
и действительный идентификатор встречи в 14 процентах случаев, что весьма впечатляет, учитывая, что идентификаторы Zoom имеют длину от девяти до одиннадцати цифр.Инструмент обнаружил около 100 встреч в час, на которых не было блокировки паролем. Из этих встреч инструмент мог получить информацию о них. Эта информация включает в себя информацию о том, кто начал встречу и какова была ее тема.
Почему это плохо?
Этот недостаток плох по двум причинам: масштабирование и шпионаж.
Зум-бомбардировка — это когда отдельный человек или группа совершает набег на открытое собрание Zoom. Зум-бомбардировщики часто выкрикивают непристойные комментарии в адрес участников и показывают оскорбительные изображения с помощью функции демонстрации экрана Zoom.
Поскольку этот инструмент специально находит собрания, на которых нет пароля, злоумышленники Zoom могут получить идентификатор из инструмента и использовать его для вторжения на собрание, не будучи остановленными.
Однако не все обеспокоены созданием проблем. Используя данные организатора и тему собрания, злоумышленники могут получить утечку информации от компании, проводящей собрание. Если агент захочет узнать больше, он может попытаться проникнуть на незащищенную встречу, чтобы получить дополнительную информацию.
Повышение безопасности на собраниях
К счастью, этот инструмент был создан исследователем безопасности по имени Трент Ло. Таким образ
Почему это плохо?
овольно устрашающий, он был обнаружен кем-то, кто хочет показать и предупредить других о проблеме, а не извлечь из нее пользу.Далее Ло сказал, что, поскольку инструмент может собирать информацию только из собраний, не защищенных паролем, лучший способ отразить атаку — установить пароль на каждую телеконференцию Zoom. Это помешало zWarDial получить подробную информацию.
В ответ на разработку zWarDial компания Zoom заявила следующее:
Zoom настоятельно рекомендует пользователям использовать пароли для всех своих собраний, чтобы незваные пользователи не могли присоединиться.
«Пароли для новых собраний включены по умолчанию с конца прошлого года, если только владельцы учетных записей или администраторы не отказались от этого. Мы изучаем уникальные крайние случаи, чтобы определить, могли ли при определенных обстоятельствах пользователи, не связанные с владельцем или администратором учетной записи, не включать пароли по умолчанию на момент внесения изменений.
Поэтому, даже если удобно поделиться ссылкой на встречу без пароля, всегда устанавливайте его, чтобы люди не вторгались в вашу телеконференцию.
Безопасность при использовании Zoom
Популярность Zoom резко возросла после вспышки коронавируса, но его безопасность оставляет желать лучшего. Это доказывает zWarDial — инструмент, созданный исследователями, который может собирать информацию из незащищенных конференц-залов. Установив пароль, вы можете защитить свои собрания от этой атаки. Альтернативно вы можете использовать другие инструменты видеоконференций с большей безопасностью.