Zoom 再現安全漏洞,可無限次嘗試會議密碼

作者 | 發布日期 2020 年 07 月 31 日 17:40 | 分類 網路 , 資訊安全 , 軟體、系統 Telegram share ! follow us in feedly


SearchPilot 產品副總裁 Tom Anthony 近日上傳有關應用程式 Zoom 的文章,內容指 Zoom 存在漏洞,即使用戶設置密碼後,其他用戶依然能夠不限次數試密碼,以進入 Zoom 視訊會議,衍生監看和監聽的問題。

Tom Anthony 發現,Zoom 會預設 6 位數字密碼給主持和會議參加者;根據統計,這有可能出現 100 萬個不同的密碼組合。而 Zoom 系統允許用戶檢查會議的密碼是否正確,沒有任何嘗試次數的限制,這讓攻擊者可以透過嘗試所有可能的密碼組合,直至找到正確的密碼來進入會議。

同時,Tom Anthony 強調,若攻擊者有意圖進行監聽活動,他們能夠寫出 Python 代碼來嘗試全部 100 萬個可能的密碼組合。此外,定期會議和個人會議會配置相同的密碼,即是攻擊者只需將密碼破解一次,便可進入日後的視訊會議。

Tom Anthony 表示,這引發了令人困擾的問題,就是攻擊者是否可能已經在使用這個漏洞,來監聽其他用戶的視訊會議。Tom Anthony 向 Zoom 報告相關漏洞後,Zoom 便立刻進行離線維護;Zoom 也要求用戶在網路版 Zoom 中登入並加入會議,並把預設的密碼改為非數字和更長的密碼,來解決這個漏洞。

(本文由 Unwire HK 授權轉載;首圖來源:Unsplash

關鍵字: , , ,