Falha simples cometida pelo Zoom permitia que hackers invadissem qualquer reunião privada.

Uma vulnerabilidade identificada no cliente Web da plataforma de videoconferência Zoom poderia ter permitido que hackers invadissem qualquer reunião privada em questão de minutos.

Identificada por Tom Anthony, vice-presidente de produtos da empresa SearchPilot, a vulnerabilidade do Zoom surgiu da ausência de limitação de taxa nas tentativas de logon em reuniões privadas.

Como Anthony explica em uma publicação recente sem seu blog, as reuniões do Zoom costumavam ser protegidas por uma senha numérica de 6 dígitos, gerando no máximo um milhão de permutações diferentes. Pode parecer um número considerável, mas, usando um simples programa Python, um hacker pode testar facilmente todas as senhas possíveis e forçar a entrada em qualquer reunião.

————————————————————————————————————————————–

Compre Bitcoin na Coinext
Compre Bitcoin e outras criptomoedas na corretora mais segura do Brasil.
Cadastre-se e veja como é simples, acesse: coinext.com.br

————————————————————————————————————————————–

Segurança do Zoom

Durante a pandemia do novo coronavírus, o Zoom obteve um aumento acentuado nos números de usuários e atualmente atende a mais de 300 milhões de participantes diários.

Com as medidas de lockdown e aumento do trabalho remoto, o Zoom enfrentou um escrutínio significativo no que diz respeito à segurança.

Desde março, os pesquisadores descobriram uma série de vulnerabilidades no serviço – da oportunidade de roubo de credenciais ao sequestro de aplicativos, injeção de código malicioso e muito mais – forçando a empresa a suspender o desenvolvimento de produtos por um período para se concentrar na eliminação das falhas de segurança.

Depois de verificar a exploração de força bruta usando um programa Python bruto em execução em uma máquina da AWS, Anthony divulgou a vulnerabilidade em 1º de abril, o que levou à suspensão do cliente Web Zoom em 2 de abril – uma interrupção que durou uma semana.

Durante esse período, o Zoom implementou uma política que exigia que os usuários do cliente Web fizessem login em uma conta antes de ingressar em uma reunião. A empresa também aumentou as senhas padrão e incluiu caracteres não numéricos, aumentando drasticamente o número de possíveis permutações de senha.

“Com essas correções, o problema foi totalmente resolvido e nenhuma ação dos usuários foi necessária. Não temos conhecimento de que essa vulnerabilidade foi explorada de qualquer maneira.”, explicou Zoom em um comunicado.

Como observa Anthony, no entanto, é plausível que um invasor possa ter se infiltrado em uma reunião do Zoom por esse vetor sem alertar os outros participantes, ocultos atrás de um ID de usuário genérico, como “iPhone” ou “PC doméstico”.

• Veja também: Spotify se aproxima de 300 milhões de usuários ativos mensais – culpa dos podcasts?

Fonte: techradar