Dois relatórios separados revelaram outros problemas no aplicativo de videoconferência popular Zoom.
Primeiro, um relatório de The Verge observa que um profissional de segurança usou uma ferramenta automatizada que pode vasculhar reuniões para encontrar aquelas que não estão protegidas por senhas. Aparentemente, conseguiu localizar 2.400 ligações em um único dia, extraindo um link para informações sobre reunião, data, horário, organizador e tópico da reunião. Do relatório:
O profissional de segurança Trent Lo e os membros do SecKC, um grupo de encontros de segurança com sede em Kansas City, criaram um programa chamado zWarDial que pode adivinha automaticamente os IDs de reunião do Zoom, que têm de nove a 11 dígitos, e coleta informações sobre essas reuniões, de acordo com o relatório.
Além de ser capaz de encontrar cerca de 100 reuniões por hora, uma instância de zWarDial pode determinar com êxito uma ID de reunião legítima 14 por cento das vezes, disse Lo a Krebs sobre Segurança. E como parte das quase 2.400 reuniões futuras ou recorrentes do Zoom zWarDial encontradas em um único dia de digitalização, o programa extraiu o link do Zoom de uma reunião, data e hora, organizador da reunião e tópico da reunião, de acordo com dados que Lo compartilhou com Krebs em Segurança.
O localizador automatizado de reuniões de conferência com Zoom 'zWarDial' descobre cerca de 100 reuniões por hora que não são protegidas por senhas. A ferramenta também solicitou ao Zoom que investigasse se sua abordagem de senha por padrão poderia estar funcionando incorretamente https://t.co/dXNq6KUYb3pic.twitter.com/h0vB1Cp9Tb
- briankrebs (@briankrebs) 2 de abril de 2020
Em uma declaração ao The Verge sobre este assunto, Zoom disse:
"O Zoom incentiva fortemente os usuários a implementarem senhas em todas as reuniões para garantir que usuários não convidados não possam participar... As senhas para novas reuniões foram habilitadas por padrão desde o final do ano passado, a menos que os proprietários de contas ou administradores tenham optado por sair. Estamos analisando casos extremos exclusivos para determinar se, sob certas circunstâncias, usuários não afiliados a um proprietário de conta ou administrador pode não ter as senhas ativadas por padrão no momento em que a alteração foi feito."
Um segundo relatório separado de A interceptação publicado hoje afirma que o algoritmo de criptografia do Zoom tem "fraquezas sérias e conhecidas" e que as chaves estão sendo emitidas por servidores às vezes baseados na China, mesmo que todos os participantes estejam baseados no NOS.
REUNIÕES NO ZOOM, o serviço de videoconferência cada vez mais popular, são criptografadas usando um algoritmo com fraquezas sérias e conhecidas, e às vezes usando chaves emitidas por servidores na China, mesmo quando os participantes da reunião estão todos na América do Norte, de acordo com pesquisadores da Universidade de Toronto.
Os pesquisadores também descobriram que o Zoom protege o conteúdo de vídeo e áudio usando um esquema de criptografia caseiro, que existe um vulnerabilidade no recurso de "sala de espera" do Zoom, e que o Zoom parece ter pelo menos 700 funcionários na China espalhados por três subsidiárias. Eles concluem, em um relatório para o Citizen Lab da universidade - amplamente seguido nos círculos de segurança da informação - que o serviço da Zoom "não é adequado para segredos "e que pode ser legalmente obrigado a divulgar as chaves de criptografia para as autoridades chinesas e" responsivo à pressão "de eles.
Zoom não comentou mais sobre este assunto, que também foi relatado por Forbes que nota:
"... em uma entrevista publicada na Forbes na sexta-feira, o presidente-executivo Eric Yuan disse que a empresa iria verificar como estava encaminhando as conversas para a China, mas enfatizou que os dados estavam protegidos. Como o Citizen Lab não enviou suas descobertas para a Zoom, dizendo que era do interesse público divulgar o informações o mais rápido possível, a empresa de videoconferência não teria conhecimento do descobertas. Mas Yuan garantiu que, se os dados do usuário estivessem sendo transferidos para a China quando os usuários nem estavam lá, "estamos dispostos a resolver isso".
As preocupações de segurança com relação ao Zoom agora são aparentemente bem observadas na comunidade. O sinal encorajador é que o Zoom percebeu, pediu desculpa e prometeu corrigir todos esses problemas nos próximos 90 dias, congelando novos recursos enquanto isso.
Estes são os melhores fones de ouvido sem fio que você pode comprar a qualquer preço!
Os melhores fones de ouvido sem fio são confortáveis, têm um som ótimo, não custam muito e cabem facilmente no bolso.
Tudo o que você precisa saber sobre o PS5: data de lançamento, preço e muito mais.
A Sony confirmou oficialmente que está trabalhando no PlayStation 5. Aqui está tudo o que sabemos sobre isso até agora.
A Nokia lança dois novos telefones Android One de baixo custo abaixo de US $ 200.
Nokia 2.4 e Nokia 3.4 são as mais recentes adições à linha de smartphones baratos da HMD Global. Como ambos são dispositivos Android One, eles têm a garantia de receber duas atualizações importantes do sistema operacional e atualizações regulares de segurança por até três anos.
Incremente seu smartphone ou tablet com os melhores pacotes de ícones para Android.
Poder personalizar o seu dispositivo é fantástico, pois ajuda a torná-lo ainda mais "seu". Com o poder do Android, você pode usar iniciadores de terceiros para adicionar temas de ícones personalizados e esses são apenas alguns dos nossos favoritos.