SearchPilot 產品副總裁 Tom Anthony 近日上載有關應用程式 Zoom 的文章,內容指 Zoom 存在漏洞,即使用戶設置密碼後,其他用戶依然能夠不限次數試密碼,以進入 Zoom 視像會議,衍生監看和監聽的問題。
So a few months ago I realised Zoom doesn't rate limit password attempts for meetings, and has only 1 million passwords. Meaning you could join private meetings within minutes. 😮 https://t.co/NDUEmzUprX
— Tom Anthony (@TomAnthonySEO) July 29, 2020
Tom Anthony 發現,Zoom 會預設 6 位數字密碼給主持和會議參加者;根據統計,這有可能出現 100 萬個不同的密碼組合。而 Zoom 系統允許用戶檢查會議的密碼是否正確,沒有任何嘗試次數的限制,這讓攻擊者可以通過嘗試所有可能的密碼組合,直至找到正確的密碼來進入會議。
同時,Tom Anthony 強調,若攻擊者有意圖進行監聽活動,他們能夠寫出 Python 代碼來嘗試全部 100 萬個可能的密碼組合。此外,定期會議和個人會議會配置相同的密碼,即是攻擊者只需將密碼破解一次,便可進入日後的視像會議。
Tom Anthony 表示,這引發了個令人困擾的問題,就是攻擊者是否可能已經在使用這個漏洞,來監聽其他用戶的視像會議。Tom Anthony 向 Zoom 報告相關漏洞後,Zoom 便立刻進行了離線維護;Zoom 也要求用戶在網上版 Zoom 中登入並加入會議,並把預設的密碼改為非數字和更長的密碼,來解決這個漏洞。
資料來源:Bleeping Computer