اپلیکیشن زووم به تازگی یکی دیگر از حفرههای امنیتی با امکان هک رمزهای عددی نشست خصوصی را پچ کرد. در صورت موفقیت این حمله، هکر می تواند تمامی مکالمات را مشاهده کند.
تمام نشستهای زووم به صورت پیشفرض با یک رمز ۶ رقمی محافظت میشوند اما به گفته محققان SearchPilot به خاطر عدم محدودیت در رمز اشتباه، هکر می توان یک میلیون رمز ممکن را در عرض چند دقیقه روی میتینگ اعمال کرده و به نشستهای خصوصی (رمز دار) وارد شود.
لازم به ذکر است که توسعه دهندگان زووم برای جلوگیری از حملات بمباران زووم، رمز گذاری برای تمام ملاقاتها را اجباری کردهاست. در حمله بمباران زووم، نشست توسط یک کاربر دعوت نشده سرقت شده و از آن برای نمایش محتوای غیر اخلاقی و نژادپرستانه استفاده می گردید.
تیم تحقیقاتی این آسیب پذیری را همراه مدارک آن در اول آوریل به این شرکت تحویل داد و این آسیب پذیری یک هفته بعد پچ شد.
رمز پیش فرض ۶ رقمی نشست ها به این معنی است که تعداد ترکیبات رمزی ممکن بیش از یک میلیون رقم نخواهد بود. که با عدم بررسی دفعات ورود رمز اشتباه، هکر می تواند با استفاده از نسخه تحت وب و ارسال درخواستهای HTTP مداوم، تمام این یک میلیون ترکیب را امتحان کند.
محققان به این نتیجه رسیدند که همین فرایند در قبال ملاقاتهای برنامه ریزی شده نیز قابل اجرا بود. این ملاقات ها را می توان با رمزهای طولانی تر و استفاده از حروف الفبا هم رمزگذاری کرد که تعداد ترکیبات ممکن را به ۱۰ میلیون رمز افزایش می دهد اما با استفاده از حمله جستجوی فراگیر میتوان به آن هم نفوذ کرد.
با توجه به اینکه دلیل بروز شرایط اضطراری و پندمی ناشی از کووید ۱۹ میزان استفاده از اپلیکیشن زووم افزایش یافته، در صورت مشاهده هرگونه ایراد و حفره امنیتی، توسعه دهندگان بلافاصله نسبت به رفع آن اقدام و پچ بروزرسانی را منتشر میکنند.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.