اپلیکیشن زووم به تازگی یکی دیگر از حفره‌های امنیتی با امکان هک رمزهای عددی نشست خصوصی را پچ کرد. در صورت موفقیت این حمله، هکر می تواند تمامی مکالمات را مشاهده کند.

تمام نشست‌های زووم به صورت پیشفرض با یک رمز ۶ رقمی محافظت می‌شوند اما به گفته محققان SearchPilot به خاطر عدم محدودیت در رمز اشتباه، هکر می توان یک میلیون رمز ممکن را در عرض چند دقیقه روی میتینگ اعمال کرده و به نشست‌های خصوصی (رمز دار) وارد شود.

لازم به ذکر است که توسعه دهندگان زووم برای جلوگیری از حملات بمباران زووم، رمز گذاری برای تمام ملاقات‌ها را اجباری کرده‌است. در حمله بمباران زووم، نشست توسط یک کاربر دعوت نشده سرقت شده و از آن برای نمایش محتوای غیر اخلاقی و نژادپرستانه استفاده می گردید.

تیم تحقیقاتی این آسیب پذیری را همراه مدارک آن در اول آوریل به این شرکت تحویل داد و این آسیب پذیری یک هفته بعد پچ شد.

رمز پیش فرض ۶ رقمی نشست ها به این معنی است که تعداد ترکیبات رمزی ممکن بیش از یک میلیون رقم نخواهد بود.  که با عدم بررسی دفعات ورود رمز اشتباه، هکر می تواند با استفاده از نسخه تحت وب و ارسال درخواست‌های HTTP مداوم، تمام این یک میلیون ترکیب را امتحان کند.

محققان به این نتیجه رسیدند که همین فرایند در قبال ملاقات‌های برنامه ریزی شده نیز قابل اجرا بود. این ملاقات ها را می توان با رمزهای طولانی تر و استفاده از حروف الفبا هم رمزگذاری کرد که تعداد ترکیبات ممکن را به ۱۰ میلیون رمز افزایش می دهد اما با استفاده از حمله جستجوی فراگیر می‌توان به آن هم نفوذ کرد.

با توجه به اینکه دلیل بروز شرایط اضطراری و پندمی ناشی از کووید ۱۹ میزان استفاده از اپلیکیشن زووم افزایش یافته، در صورت مشاهده هرگونه ایراد و حفره امنیتی، توسعه دهندگان بلافاصله نسبت به رفع آن اقدام و پچ بروزرسانی را منتشر می‌کنند.

نظرات

نظر (به‌وسیله فیس‌بوک)