Es scheint, dass kaum ein Tag vergehen kann, ohne dass weitere Zoom-Schwachstellen entdeckt werden – und nicht nur eine, sondern zwei weitere werden heute aufgedeckt…

Der Rand berichtet, dass eine Gruppe von Sicherheitsexperten Brute-Force-Angriffe einsetzen konnte, um an einem einzigen Tag auf vertrauliche Details zu fast 2.400 Zoom-Meetings zuzugreifen.

Ein von Sicherheitsforschern entwickeltes automatisiertes Tool kann laut einem neuen Bericht des Sicherheitsexperten Brian Krebs in einer Stunde rund 100 Zoom-Besprechungs-IDs und Informationen für fast 2.400 Zoom-Besprechungen an einem einzigen Scantag finden.

Der Sicherheitsexperte Trent Lo und Mitglieder von SecKC, einer in Kansas City ansässigen Sicherheits-Meetup-Gruppe, haben ein Programm namens zWarDial erstellt, das automatisch neun- bis elfstellige Zoom-Meeting-IDs erraten und Informationen zu diesen Meetings abrufen kann.

Eine Instanz von zWarDial kann nicht nur rund 100 Besprechungen pro Stunde finden, sondern auch in 14 Prozent der Fälle erfolgreich eine legitime Besprechungs-ID ermitteln, sagte Lo gegenüber Krebs on Security. Im Rahmen der fast 2.400 bevorstehenden oder wiederkehrenden Zoom-Besprechungen, die zWarDial an einem einzigen Scan-Tag fand, extrahierte das Programm den Zoom-Link, das Datum und die Uhrzeit, den Organisator der Besprechung und das Besprechungsthema einer Besprechung gemäß den Daten, die Lo mit Krebs on Security geteilt hat.

Die Anzahl war so hoch, dass Zoom sich fragte, ob die standardmäßige Anforderung von Kennwörtern nicht funktioniert.

„Passwörter für neue Besprechungen sind seit Ende letzten Jahres standardmäßig aktiviert, es sei denn, Kontoinhaber oder Administratoren haben sich abgemeldet. Wir untersuchen eindeutige Randfälle, um festzustellen, ob unter bestimmten Umständen Benutzer, die nicht mit einem Kontoinhaber oder Administrator verbunden sind, zum Zeitpunkt der Änderung möglicherweise nicht standardmäßig Kennwörter aktiviert haben. “

zusätzlich, Das Abfangen berichtet, dass die Verschlüsselung von Zoom schwerwiegende Mängel aufweist.

Meetings on Zoom, der immer beliebter werdende Videokonferenzdienst, werden nach Angaben von Forschern der Universität mithilfe eines Algorithmus mit schwerwiegenden, bekannten Schwachstellen und manchmal mithilfe von Schlüsseln verschlüsselt, die von Servern in China ausgegeben werden, selbst wenn sich alle Meeting-Teilnehmer in Nordamerika befinden von Toronto […]

Sie kommen zu dem Schluss […], dass der Zoom-Dienst „nicht für Geheimnisse geeignet“ ist und dass er möglicherweise gesetzlich verpflichtet ist, Verschlüsselungsschlüssel an chinesische Behörden weiterzugeben und „auf Druck“ von diesen zu reagieren.

Die Universität stellte außerdem fest, dass die verwendete Form der Verschlüsselung schwächer ist als von Zoom behauptet und eine besonders schlechte Implementierung des schwächeren Standards darstellt.

Das Unternehmen behauptet, dass Zoom-Meetings mit 256-Bit-AES-Schlüsseln geschützt sind, aber die Citizen Lab-Forscher bestätigten, dass die verwendeten Schlüssel tatsächlich nur 128-Bit sind. Solche Schlüssel gelten heute noch als sicher, aber in den letzten zehn Jahren haben viele Unternehmen stattdessen auf 256-Bit-Schlüssel umgestellt.

Darüber hinaus verschlüsselt und entschlüsselt Zoom mit AES mithilfe eines Algorithmus namens EZB-Modus (Electronic Codebook), „der als schlechte Idee angesehen wird, da dieser Verschlüsselungsmodus Muster in der Eingabe beibehält“, so die Forscher von Citizen Lab. Tatsächlich gilt die EZB als der schlechteste verfügbare AES-Modus.

Das Unternehmen reagiert, aber wenn Sie noch keine der vielen Alternativen verwenden, können Sie die neuesten Zoom-Schwachstellen dazu verleiten. Unter meinen Tech-Freunden scheint Wobei eine beliebte Wahl zu sein.

  Amerikaner trennten sich bei der Verwendung von Kontaktverfolgungs-Apps, die von Apple / Google API unterstützt werden

FTC: Wir verwenden einkommensverdienende Auto-Affiliate-Links. Mehr.