Два отдельных отчета выявили дополнительные проблемы в популярном приложении для видеоконференций Zoom.
Прежде всего, отчет от Грани отмечает, что специалист по безопасности использовал автоматизированный инструмент, который может просматривать собрания, чтобы найти те, которые не защищены паролями. Судя по всему, он смог найти 2400 звонков за один день, извлекая ссылку на встречу, дату, время, информацию об организаторе и тему встречи. Из отчета:
Специалист по безопасности Трент Ло и члены SecKC, группы встреч по безопасности из Канзас-Сити, создали программу под названием zWarDial, которая может автоматически угадывать идентификаторы собраний Zoom, которые состоят из девяти - 11 цифр, и собирать информацию об этих собраниях в соответствии с отчет.
В дополнение к возможности находить около 100 встреч в час, один экземпляр zWarDial может успешно определять допустимый идентификатор собрания в 14% случаев, - сказала Ло Кребсу из службы безопасности. И в рамках почти 2400 предстоящих или повторяющихся встреч Zoom zWarDial, обнаруженных за один день сканирования, программа извлекли ссылку Zoom встречи, дату и время, организатора встречи и тему встречи, согласно данным, которыми Ло поделился с Кребсом на Безопасность.
Автоматизированный поисковик конференций Zoom «zWarDial» обнаруживает ~ 100 собраний в час, которые не защищены паролями. Инструмент также предложил Zoom выяснить, не работает ли его подход с паролем по умолчанию. https://t.co/dXNq6KUYb3pic.twitter.com/h0vB1Cp9Tb
- briankrebs (@briankrebs) 2 апреля 2020 г.
В заявлении для The Verge по этому поводу Zoom сказал:
"Zoom настоятельно рекомендует пользователям вводить пароли для всех своих встреч, чтобы незваные пользователи не могли присоединиться... Пароли для новых собраний были включены по умолчанию с конца прошлого года, если только владельцы учетных записей или администраторы не отказались от этого. Мы изучаем уникальные крайние случаи, чтобы определить, могут ли при определенных обстоятельствах пользователи, не связанные с владелец учетной записи или администратор, возможно, не включили пароли по умолчанию в то время, когда это изменение было сделал."
Второй отдельный отчет от Перехват опубликовано сегодня утверждает, что алгоритм шифрования Zoom имеет "серьезные, хорошо известные недостатки" и что ключи выдаются серверами, иногда расположенными в Китае, даже если все участники находятся в НАС.
ВСТРЕЧИ НА ZOOM, набирающей популярность услуге видеоконференцсвязи, шифруются с использованием алгоритма с серьезными, хорошо известными недостатками, и иногда с использованием ключей, выданных серверами в Китае, даже когда все участники собрания находятся в Северной Америке, по данным исследователей из Университета Торонто.
Исследователи также обнаружили, что Zoom защищает видео и аудио контент, используя самодельную схему шифрования, что есть уязвимость в функции «комнаты ожидания» Zoom, и что у Zoom, похоже, есть не менее 700 сотрудников в Китае, распределенных по трем дочерние компании. В отчете для университетской лаборатории Citizen Lab, который широко используется в кругах информационной безопасности, они заключают, что услуга Zoom "не подходит для секретов "и что он может быть юридически обязан раскрывать ключи шифрования китайским властям и" реагировать на давление "со стороны их.
Zoom больше не комментировал эту проблему, которая также была сообщил от Forbes, которые отмечают:
«... в интервью, опубликованном в Forbes в пятницу, генеральный директор Эрик Юань сказал, что компания собирается проверить, как она направляет разговоры в Китай, но подчеркнул, что данные защищены. Поскольку Citizen Lab не отправила свои результаты в Zoom, заявив, что в общественных интересах выпустить информации как можно скорее, компания видеоконференцсвязи не узнала бы результаты. Но Юань заверил, что если пользовательские данные передавались в Китай, когда пользователи даже не находились там, «мы готовы решить эту проблему».
Проблемы безопасности, связанные с Zoom, теперь, похоже, хорошо известны в сообществе. Обнадеживающим признаком является то, что Zoom заметил, извинился и пообещал исправить все эти проблемы в течение следующих 90 дней, заморозив тем временем новые функции.
Это лучшие беспроводные наушники, которые вы можете купить по любой цене!
Лучшие беспроводные наушники удобны, отлично звучат, не стоят слишком дорого и легко помещаются в кармане.
Все, что вам нужно знать о PS5: дата выхода, цена и многое другое.
Sony официально подтвердила, что работает над PlayStation 5. Вот все, что мы знаем об этом на данный момент.
Nokia запускает два новых бюджетных телефона Android One стоимостью менее 200 долларов.
Nokia 2.4 и Nokia 3.4 - последние дополнения к линейке бюджетных смартфонов HMD Global. Поскольку оба они являются устройствами Android One, они гарантированно получат два основных обновления ОС и регулярные обновления безопасности на срок до трех лет.
Украсьте свой смартфон или планшет лучшими пакетами значков для Android.
Возможность настроить ваше устройство - это фантастика, поскольку она помогает сделать ваше устройство еще более «вашим собственным». Благодаря возможностям Android вы можете использовать сторонние программы запуска для добавления пользовательских тем значков, и это лишь некоторые из наших любимых.