标签: Zoom

Zoom 再爆安全漏洞:会议默认使用 6 位数字密码 能在几分钟内破解

受疫情影响越来越多的人开始在家远程办公,这也让 Zoom 这款在线视频会议水涨船高。在使用度、热度持续攀升的同时,不重视用户隐私、存在诸多安全漏洞等各种负面内容也接踵而至。迫使公司宣布冻结新功能发布 90 天,以修复当前软件中存在的各种漏洞。 今天,安全研究人员 Tom Anthony 公布了 Zoom 的一个关键安全漏洞。通过这个漏洞,任何人都可以加入受密码保护的 Zoom 会议。Zoom 会议默认由 6 位数字密码保护。所以,有可能出现 100 万个不同的密码。 Tom 发现,Zoom的网络客户端允许任何人检查会议的密码是否正确,没有任何尝试次数的限制。因此,攻击者可以写一个小的 Python 代码来尝试所有的 100 万个密码,并在几分钟内找到正确的密码。 在 Tom 向 Zoom 报告了这个问题之后,Zoom 的网络客户端就进行了离线维护。Zoom 要求用户在 web 客户端中登录加入会议,以及更新默认会议密码为非数字和更长的密码来缓解这个问题。 尽管这个问题现在已经被修复,但它引发了以下令人不安的问题—是否已经有攻击者利用这个漏洞来监听其他人的视频会议?例如政府会议?     (稿源:cnBeta,封面源自网络。)

Zoom 爆出一个只影响 Windows 7 及以下版本的远程代码执行漏洞

安全研究人员在Windows的Zoom客户端中发现了一个远程代码执行漏洞,从目前来看,只有安装了Windows 7的系统才会真正暴露在风险之下。在Zoom实际解决该漏洞之前,安全公司0patch先行发布了针对该漏洞的微补丁,该公司解释说,这一漏洞的危险性较高,远程攻击者只需说服用户执行一个简单的动作,比如打开一个文件,就可以利用该漏洞。 一旦恶意文件被加载,攻击者就可以发起RCE攻击,而受害者的电脑上不会显示任何警告。虽然该漏洞存在于所有Windows版本的Zoom客户端中,但只有Windows 7电脑会受到威胁。 “这个漏洞只在Windows 7和更早的Windows版本上可以利用。它很可能在Windows Server 2008 R2和更早的版本上也可以利用,尽管我们没有测试;但是无论是哪个系统,我们的微补丁都会保护你,无论你在哪里使用Zoom Client,”0patch指出。 随后,Zoom在其Windows客户端的5.1.3版本中修补了这个错误。之前安装了0patch发布的微补丁的用户在应用Zoom官方修复版时不需要做任何事情,因为微补丁本身会自动失效。 这个漏洞表明,始终运行受到支持的Windows版本是多么重要。Windows 7的官方支持在今年1月结束,这意味着这款来自2009年的操作系统不再能够从微软获得任何新的更新和安全补丁。额外的修复程序是通过定制的安全更新(收费提供)或使用0patch等第三方产品来运送的。     (稿源:cnBeta,封面源自网络。)

Zoom 并未给免费用户提供端到端加密 “以防有人将其用于不良目的”

由于COVID-19迫使更多的人在家办公,Zoom的使用量迅猛攀升,导致人们对这款视频会议工具的安全性和隐私性产生了极大的兴趣。端到端加密的缺失是很多用户最关心的问题,但在最近收购Keybase之后,Zoom CEO袁征(Eric S.Yuan)表示,将 “帮助我们建立能够达到当前Zoom扩展性的端到端加密”。 不过据外媒报道,Zoom只是给其付费用户提供端到端加密。任何使用免费账户的人都将无法获得该功能。为什么这么说呢?袁征解释说,”我们也希望与FBI、与当地执法部门合作,以防有人将Zoom用于不良目的”。 这个说法是在一次财报电话会议上提出的。在谈及付费用户端到端加密的到来时,袁征表示:“我们肯定不想给免费用户提供该服务,因为我们也想和FBI、和地方执法部门一起合作,以防有人将Zoom用于不良目的。” 隐私组织Privacy Matter发推文回应了这一消息。 来自Fight for the Future的隐私倡导者Evan Greer表示: 基本的安全性不应该是一个高级功能,这只是提供给富有的个人和大公司。该公司表示,只有在你支付额外费用的情况下,他们才会保证你的通话安全,这实在是太恶心了。 Zoom一位发言人告诉《卫报》:“我们不会与执法部门分享信息,除非是在儿童性虐待的情况下。我们没有后门,任何人都可以在不被他人看到的情况下进入会议。这些都不会改变。”他还指出,该公司不会“主动监控会议内容”。     (稿源:cnBeta,封面源自网络。)

Zoom 漏洞:超 50 万个 Zoom 账户泄露并在 Dark Web 出售

早在今年4月份左右,Zoom被爆出漏洞,在Dark Web和黑客论坛上,超过50万个Zoom帐户可供出售,1块钱可以买7000个。在某些情况下,是免费赠送的。这些凭据是通过凭据注入攻击收集的,其中黑客尝试使用在较早的数据泄露中泄露的帐户尝试登录Zoom。然后将成功的登录名编译成列表,然后出售给其他黑客。 网络安全情报公司Cyble 告诉BleepingComputer,大约2020年4月1日,他们开始在黑客论坛上看到免费的Zoom帐户发布,以在黑客社区中获得越来越高的声誉。 这些帐户通过文本共享站点共享,黑客在该站点上发布电子邮件地址和密码组合的列表。 在以下示例中,免费放出了与佛蒙特大学,科罗拉多大学,达特茅斯,拉斐特,佛罗里达大学等学院相关的290个帐户。 BleepingComputer已联系了这些列表中显示的随机电子邮件地址,并确认某些凭据是正确的。 一位暴露的用户告诉BleepingComputer,列出的密码是旧密码,这表明其中一些凭证可能来自较旧的凭证注入攻击。 批量出售帐户 在看到卖家在黑客论坛上发布帐户后,Cyble伸出手来大量购买大量帐户,以便可以将潜在的漏洞用于警告客户。 Cyble能够以每个帐户0.0020美元的价格购买不到5美分的Zoom凭证(大约530,000个)。 购买的帐户包括受害者的电子邮件地址,密码,个人会议URL及其HostKey。 Cyble告诉BleepingComputer,这些帐户包括大通,花旗银行,教育机构等知名公司的帐户。 对于属于Cyble客户的帐户,情报公司能够确认它们是有效的帐户凭据。 Zoom在给BleepingComputer的声明中说,他们已经雇用了情报公司来帮助查找这些密码转储,以便他们可以重置受影响的用户的密码。 “为消费者服务的网络服务通常会受到此类活动的攻击,这通常涉及不良行为者测试来自其他平台的大量已被破坏的凭据,以查看用户是否在其他地方重用了它们。这种攻击通常不会会影响使用他们自己的单点登录系统的大型企业客户,我们已经聘请了多家情报公司来查找这些密码转储以及用于创建密码转储的工具,并且该公司已关闭了数千个试图欺骗网站的网站用户下载恶意软件或放弃其凭据。我们将继续进行调查,以锁定我们发现遭到入侵的帐户,要求用户将其密码更改为更安全的方式,并正在寻求实施其他技术解决方案以支持我们的努力。” 更改Zoom密码(如果在其他地方使用) 由于所有公司都受到凭据注入攻击的影响,因此对于注册帐户的每个站点,您必须使用唯一的密码。 通过这些攻击,利用暴露在过去数据泄露中的帐户,然后在线销售,每个站点使用唯一的密码可以防止一个站点的数据泄露影响另一个站点数据。 您还可以通过“ 我已被拥有”和Cyble的AmIBreached数据泄露通知服务检查您的电子邮件地址是否因数据泄露而泄漏。 两种服务都将列出包含您的电子邮件地址的数据泄露事件,并进一步确认您的凭据已被公开。     (稿源:TechWeb,封面源自网络。)

Zoom 正在为付费客户提供更强大的加密功能

上个月,Zoom决定将功能冻结90天,以修复全球研究人员发现的各种漏洞。随后,该公司对Zoom的工作方式进行了修改,并增加了新的安全功能,使App上的通话更加安全。现在,Zoom正计划为该应用添加更强大的加密功能,但该公司的安全顾问Alex Stamos证实,这将只针对付费用户和机构。 安全专家们一直在警告说,不良行为者滥用端到端的加密技术来躲避侦查以进行非法活动。美国公民自由联盟的技术研究员乔恩-卡拉斯(Jon Callas)表示,向加密等功能额外收费“是摆脱流氓的一种方”。”他补充说,在Zoom努力提高安全性的同时,他们也在力求大幅升级让客户信任方面的工作。 “Zoom公司的端到端加密方法是一项正在进行中的工作 – 从我们上周刚刚公布的加密设计草案,到我们继续讨论它将适用于哪些客户,”公司发言人在对媒体的回复中表示。 视频会议平台在冠状病毒大流行期间蓬勃发展,但一直受到无数安全问题的困扰。其中包括Zoombombing,即不请自来的客人入侵视频通话,并以色情或其他震撼内容破坏视频通话。 然而,在每个视频通话中添加完整的端到端加密,将会导致后打进来的客户被排除在会议外,更严格的加密甚至不允许Zoom自己的安全团队在通话中添加自己,以便实时帮助客户。 Zoom在5月22日发布了一份文件草案,概述了其部分加密计划。     (稿源:cnBeta,封面源自网络。)

美 FTC 证实正在调查视频会议软件公司 Zoom 侵犯隐私问题

5月12日消息,据国外媒体报道,受新冠疫情影响,视频会议需求大增,而其中最大的受益者包括视频会议软件公司Zoom。虽然,该公司目前风头正盛,但它也被曝光了很多问题,比如侵犯隐私问题。 加州众议员杰里·麦克纳尼(Jerry McNerney)和其他人对收集到的关于注册用户和非注册用户的信息、Zoom用户可能存储在云中的通信记录表达了担忧。 当地时间周一,美国联邦贸易委员会(FTC)主席约瑟夫·西蒙斯(Joseph Simons)表示,该机构正在调查有关Zoom的隐私投诉问题。 除了隐私问题外,Zoom还存在一些其它的负面新闻,比如,谷歌以担心安全性为由,禁止员工在电脑上安装和使用Zoom,超50万Zoom账户信息在暗网售卖等等。 随着视频会议需求大增,Zoom的用户人数也迅速增长。此前,该公司宣布,它已拥有3亿日活跃用户,较4月初的2亿活跃用户增长约50%。但后来,该公司又纠正了具有误导性的说法,承认自己并没有3亿日活跃用户,而是“每天有3亿个Zoom会议参与者”。 此外,由于视频会议需求大增,Zoom选择甲骨文作为其关键的云基础设施提供商,以增加其云计算能力。   (稿源:网易科技,封面源自网络。)

Zoom 安全漏洞被指可以让网站劫持 Mac 摄像头

据外媒报道,当地时间7月9日,安全研究员Jonathan Leitschuh公开披露了在Mac电脑上Zoom视频会议应用中出现的一个严重零日漏洞。他已经证明,任何网站都可以在安装了Zoom应用的Mac电脑上打开视频通话。 这在一定程度上是可行的,因为Zoom应用在Mac电脑上安装了一个网络服务器用于接收普通浏览器不会接收的请求。 事实上,即便卸载了Zoom, 网络服务器仍会持续存在,并且可以在不需要用户干预的情况下重新安装Zoom。 Twitter也有其他用户报告了这个漏洞。 据Leitschuh披露,他在3月底发现了这一漏洞并给这家公司90天时间来解决这个问题,然而最后Zoom似乎并没有做好充足的工作。Chrome和Mozilla团队也都发现了这个漏洞,但由于这不是其浏览器的问题,所以这些开发人员也无能为力。 不过目前用户可以自己“修补”这个问题,他们要确保自己的Mac应用是最新的并禁用允许Zoom打开其相机参加会议的设置,见下图:     (稿源:cnBeta,封面源自网络。)