Два отделни доклада разкриха допълнителни проблеми в популярното приложение за видеоконференции Zoom.
Първо, доклад от На ръба отбелязва, че специалист по сигурността е използвал автоматизиран инструмент, който може да претърсва срещите, за да намери такива, които не са защитени с пароли. Очевидно е успял да намери 2400 обаждания за един ден, като е извлекъл връзка към информация за срещата, датата, часа, организатора и темата на срещата. От доклада:
Професионалистът по сигурността Трент Ло и членовете на SecKC, базираната в Канзас Сити група за срещи по сигурността, създадоха програма, наречена zWarDial, която може автоматично отгатнете Zoom ID на срещите, които са дълги от девет до 11 цифри, и извличайте информация за тези срещи, според доклад.
Освен че може да намери около 100 срещи на час, един екземпляр на zWarDial може успешно да определи легитимен идентификационен номер на срещата в 14 процента от времето, каза Ло пред Krebs on Security. И като част от близо 2400 предстоящи или повтарящи се Zoom срещи zWarDial, намерени за един ден на сканиране, програмата извлича връзката за мащабиране на срещата, датата и часа, организатора на срещата и темата на срещата, според данни Lo, споделени с Krebs на Сигурност.
Автоматичният инструмент за търсене на срещи за конференции Zoom 'zWarDial' открива ~ 100 срещи на час, които не са защитени с пароли. Инструментът също така е подканил Zoom да проучи дали подходът му по подразбиране за парола може да работи неправилно https://t.co/dXNq6KUYb3pic.twitter.com/h0vB1Cp9Tb
- briankrebs (@briankrebs) 2 април 2020 г.
В изявление пред The Verge по този въпрос Zoom казва:
"Zoom силно насърчава потребителите да прилагат пароли за всички свои срещи, за да гарантира, че неканените потребители не могат да се присъединят... Паролите за нови срещи са разрешени по подразбиране от края на миналата година, освен ако собствениците на акаунти или администраторите не са се отказали. Разглеждаме уникални крайни случаи, за да определим дали при определени обстоятелства потребители не са свързани собственикът на акаунт или администраторът може да не са имали включени пароли по подразбиране към момента на промяната направени. "
Втори отделен доклад от Прихващането публикуван днес твърди, че алгоритъмът за криптиране на Zoom има "сериозни, добре известни слабости" и това ключовете се издават от сървъри, понякога базирани в Китай, дори ако всички участници са базирани в НАС.
СРЕЩИТЕ НА ZOOM, все по-популярната услуга за видеоконференции, се криптират с помощта на алгоритъм със сериозни, добре известни слабости и понякога се използват ключове, издадени от сървъри в Китай, дори когато участниците в срещата са в Северна Америка, според изследователи от Университета в Торонто.
Изследователите също така установиха, че Zoom защитава видео и аудио съдържание, използвайки домашна схема за криптиране, че съществува уязвимостта на функцията "чакалня" на Zoom и че Zoom изглежда има най-малко 700 служители в Китай, разпределени в три дъщерни дружества. Те заключават, че в доклад за университетската лаборатория Citizen - широко следван в средите за информационна сигурност - услугата Zoom „не е подходящ за тайни "и че може да бъде законово задължен да разкрива ключове за шифроване на китайските власти и„ да реагира на натиск "от тях.
Zoom не коментира допълнително този въпрос, който също беше съобщава от Форбс, който отбелязва:
"... в интервю, публикувано във Forbes в петък, главният изпълнителен директор Ерик Юан заяви, че компанията ще провери как насочва разговорите към Китай, но подчерта, че данните са защитени. Тъй като Citizen Lab не беше изпратил своите констатации на Zoom, заявявайки, че е в обществен интерес да се освободи информацията възможно най-скоро, компанията за видеоконференции не би знаела за констатации. Но Юан увери, че ако потребителските данни се прехвърлят в Китай, когато потребителите дори не са базирани там, „ние сме готови да се заемем с това“.
Притесненията за сигурността по отношение на Zoom сега изглеждат добре забелязани в общността. Обнадеждаващият знак е, че Zoom е забелязал, извини се и обеща да отстрани всички тези проблеми през следващите 90 дни, като междувременно замрази нови функции.
Това са най-добрите безжични слушалки, които можете да закупите на всяка цена!
Най-добрите безжични слушалки са удобни, звучат страхотно, не струват прекалено много и лесно се побират в джоба.
Всичко, което трябва да знаете за PS5: Дата на издаване, цена и много други.
Sony официално потвърди, че работи по PlayStation 5. Ето всичко, което знаем за него до момента.
Nokia пуска два нови бюджетни телефона Android One под $ 200.
Nokia 2.4 и Nokia 3.4 са най-новите допълнения към бюджетната гама смартфони на HMD Global. Тъй като и двете са устройства с Android One, гарантирано ще получат две основни актуализации на ОС и редовни актуализации на защитата до три години.
Подправете вашия смартфон или таблет с най-добрите пакети с икони за Android.
Възможността да персонализирате устройството си е фантастична, тъй като помага да направите устройството си още повече „свое“. С мощността на Android можете да използвате стартови програми на трети страни, за да добавяте персонализирани теми на икони и това са само някои от любимите ни.