Баг в Zoom позволял за считанные минуты взломать код доступа.

Отсутствие ограничений на количество попыток ввода пароля в web-клиенте Zoom позволяло злоумышленникам быстро подбирать коды доступа, используемые для защиты встреч.

По словам специалиста компании SearchPilot Тома Энтони (Tom Anthony), встречи в Zoom по умолчанию были защищены шестизначным кодом, а значит, что существовало 1 млн возможных комбинаций. На перебор такого количества кодов в поисках нужного у злоумышленника уйдет всего несколько минут. Более того, повторяющиеся встречи имеют один и тот же код, поэтому его достаточно взломать лишь один раз.

На взлом кода у самого Энтони ушло 25 минут. Для этого ему потребовалась машина AWS и 91 тыс. попыток. «С помощью улучшенной организации потоков и распределения между 4-5 облачными серверами можно проверить все пространство паролей за несколько минут», - отметил исследователь.

Энтони уведомил производителя о проблеме 1 апреля 2020 года и предоставил PoC-эксплоит на базе Python. 2 апреля web-клиент Zoom был отключен для исправления уязвимости. Спустя неделю компания решила проблему, введя обязательную авторизацию для пользователей перед подключением к встрече в web-клиенте и обновив пароли по умолчанию, чтобы они не были числовыми и были длиннее.

Новости по теме

Отважный пес стал звездой Сети: бросился спасать хозяина, не умея плавать.

Пес Адриан, который раньше никогда не плавал в воде, преодолел страх перед бассейном и бросился в него, чтобы спасти хозяина.

2 1

Киберпреступники продолжают использовать тему COVID-19 в качестве приманки.

Компания Eset представила рейтинг наиболее распространенных угроз в Интернете второго квартала.

1

В сети появилось мобильное приложение по распознаванию опасных пауков.

Австралийское Государственное объединение научных и прикладных исследований (CSIRO) разработало программу Critterpedia, которая умеет определять насекомых и змей по фотографии.

Новый сайт Байдена использует лучшие идеи бывших соперников.

Навигация на новом сайте потенциального кандидата в президенты США от демпартии Джо Байдена очень похожа на сайт сенатора Камалы Харрис.

Новая тема Gradient для MIUI 12 удивила всех фанов

Для наших смартфонов симпатичная и приятная тема от дизайнера Célio.P, которая также адаптирована для тёмного режима.

Продолжая просматривать Новости Украины (UAZMI), вы подтверждаете, что ознакомились с Правилами пользования сайтом, и соглашаетесь на использование файлов cookie