Check Point: vulnerabilità in videoconferenze Zoom

Check Point ha scoperto che estranei potevano connettersi alle videoconferenze online con Zoom e ascoltare le riunioni.

Autore: Redazione BitCity

Check Point ha scoperto che un hacker avrebbe potuto intrufolarsi ai meeting online con Zoom e ascoltare le riunioni.
Il problema di vulnerabilità sorgeva se l'organizzatore non aveva abilitato l'opzione "Richiedi password per il meeting" o non aveva abilitato l'attesa ("Waiting Room") - che consente l'ammissione manuale dei partecipanti. In questo caso, quindi, le 9/10/11 cifre che compongono iI Meeting ID di Zoom erano l'unica cosa che garantiva la sicurezza della riunione, quindi erano l'unico elemento che impediva ad una persona non autorizzata di collegarsi al meeting. 
I ricercatori di Check Point sono stati in grado di prevedere circa il 4% dei meeting ID generati in modo casuale, il che è indice dell'alta probabilità di successo che avrebbero potuto avere gli hacker malintenzionati. 
Lo scorso luglio, Check Point ha informato Zoom di questa vulnerabilità, proponendo le seguenti correzioni per attenuare il problema:  Re-implementare l'algoritmo di generazione dei Meeting ID Sostituire la funzione di randomizzazione con una funzione crittograficamente forte Aumentare il numero di cifre nei Meeting ID Spingere gli organizzatori dei meeting a richiedere passwordPINSSO per l'accesso Zoom è stata collaborativa e ha risposto immediatamente apportando una serie di modifiche per risolvere in modo adeguato questa vulnerabilità.  Le password vengono ora aggiunte tramite impostazione predefinita a tutte le riunioni Gli utenti possono aggiungere una password alle riunioni programmate prima della patch e che non avevano questa impostazione Le impostazioni della password possono essere applicate a livello di singolo account e per i gruppi dall'amministratore dell'account Zoom non indicherà più automaticamente se un ID riunione è valido o non valido. Per ogni tentativo, la pagina verrà caricata e tenterà di partecipare al meeting. Così non sarà possibile restringere rapidamente il gruppo di riunioni e tentare di parteciparvi. Tentativi ripetuti di ricerca degli ID riunione causeranno il blocco di un dispositivo per un periodo di tempo

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.