Последен ъпдейт на 4 май 2020 в 11:57 ч.
Ъпдейт: след масовите публикации, Zoom публикува ъпдейт на приложението, с което запуши уязвимостта, позволяваща кражба на Windows потребителски имена и пароли. Тя е достъпна във версия 4.6.9 (19253.0401). Компанията пушва автоматично ъпдейтите към потребителите си, като включително ще видите и предложение за ъпдейт след проведен конферентен разговор.
Прочетете и нашия ъпдейт по темата Zoom и съветника ни как да направите видеоконферентните си разговор по-сигурни тук.
Услугата за видеоконферентни разговори Zoom стана (не)волна жертва на огромната си популярност по време на глобалната пандемия. Това привлече вниманието на специалистите по киберсигурност и хакерите.
Анализатори намериха уязвимости в услугата, позволяващи кражба на мейли, снимки и пароли на потребители, а хакери започнаха масови регистрации на фалшиви домейни, наподобяващи името на Zoom (към момента – поне 68).
Течове на снимки и имейли
Уязвимост във функцията Company Directory позволява кражбата на имейли и профилни снимки на потребителите на услугата.
За да улесни клиентите си, Zoom обединява в една група всички потребители, регистрирани с мейли с един и същи домейн. Множество потребители обаче са забелязали, че дори и да се регистрират с личните си мейли, Zoom автоматично ги е добавил в подобни групи, споделяйки личните им данни с хиляди други непознати – все едно работят в една и съща компания.
Vice са обърнали специално внимание на проблема в подробна статия.
Кражба на Windows пароли
Чрез Zoom могат да бъдат откраднати потребителски имена и пароли за Windows. Това може да доведе до допълнителен риск за потребителите на Microsoft Office 365, защото Windows акаунта ви може да бъде използвани за достъп до корпоративните (или лични) ресурси в облака.
Уязвимостта позволява да бъдат изпълнени програми чрез UNC линкове. Предупреждението дойде от Тавис Орманди (https://twitter.com/taviso), една от най–уважаваните личности в областта киберсигурността.
За да разберете как точно се случва това, препоръчваме статията в BleepingComputer.
Уязвимостта беше запушена във версия 4.6.9 (19253.0401) на Zoom, достъпна в официалния сайт на компанията. препоръчваме да ъпдейтнете към най-новата налична версия максимално скоро.
Не напълно криптирана комуникация
Противно на рекламираното, Zoom срещите не са защитени с криптиране на връзката от край-до-край. Това е проблем, който засяга повече поверителността отколкото сигурността. Прочетете още тук, но мнението на професора по криптография и компютърни науки М.Грийн от Johns Hopkins University е достатъчно красноречиво:
„Не е много ясно какво точно е криптирано от край-до-край. Мисля, че не са особено честни. Би било хубаво, ако просто признаят,“ казва той. (Оригиналният цитат е “They’re a little bit fuzzy about what’s end-to-end encrypted. I think they’re doing this in a slightly dishonest way. It would be nice if they just came clean”)
Спам, фишинг, фалшиви домейни
Популярността на Zoom доведе и до експлоатирането на името на компанията за разпространение на спам и фишинг. От началото на пандемията до момента са регистрирани над 1 700 домейна, съдържащи думата Zoom, 25% от които са регистрирани през последната седмица.
Проучване на CheckPoint показва, 4% от тях са със зловредно съдържание – т.е. сайтове, които имитират услугата и се опитват да откраднат лични данни и пароли от потребителите или да ги прилъжат да свалят потенциално описани файлове – например, zoom-us-zoom_##########.exe (където ########## е поредица от цифри).
Съветът ни към вас е да не „кликате“ на линкове получени от непознати податели, както и да изписвате собственоръчно домейните на инструментите в адресната лента на уеб браузърите. Също така, да използвате google за търсене в мрежата, понеже в голяма част от случаите търсачката филтрира зловредни резултати свързани с търсенето, както и да сваляте и инсталирате програмите само от официалните сайтове на производителя (но имайте едно наум).
Уязвими приложения за macOS
Две нови уязвимости в macOS приложението на Zoom бяха разкрити от изследователя Патрик Лардъл (Patrick Wardle). Едната уязвимост позволява локална ескалация на привилегии, а другата поемане на контрола върху камерата и микрофона на жертвата. Повече може да прочетете в статията със „закачливото“ име – The ‘S’ in Zoom Stands for Security.