Kesalahan zoom dapat membuat orang yang tidak diundang bergabung …

Jika Anda menggunakan Zoom untuk mengadakan rapat online jarak jauh, Anda harus membaca bagian ini dengan seksama.

Perangkat lunak konferensi video yang sangat populer memiliki tambalan lubang keamanan yang dapat memungkinkan siapa saja untuk mendengarkan dari jarak jauh dalam pertemuan aktif dan tidak dilindungi, berpotensi mengekspos audio bersama, video, dan dokumen pribadi selama sesi.

Selain menyelenggarakan rapat virtual dan webinar yang dilindungi kata sandi, Zoom juga memungkinkan pengguna mengatur sesi untuk peserta yang tidak terdaftar yang dapat bergabung dengan rapat aktif dengan memasukkan ID Rapat Unik, tanpa perlu kata sandi atau melalui ruang tunggu.

Zoom menghasilkan ID rapat acak ini, yang terdiri dari angka 9, 10, dan 11 digit, untuk setiap pertemuan yang Anda jadwalkan atau buat. Jika Anda memfilter melewati orang atau sekelompok orang yang dituju, hanya dengan mengetahui Pertemuan ID dapat memungkinkan tamu yang tidak diundang untuk bergabung dengan rapat atau webinar.

Ini bisa menjadi berita buruk bagi siapa saja yang mengharapkan percakapan mereka bersifat pribadi.

Untuk menghindari skenario ini, Zoom akhir tahun lalu memperkenalkan serangkaian kontrol tambahan di bawah pengaturan kata sandi untuk rapat dan webinar, yang, menurut Check Point, adalah hasil penyelidikan lubang keamanan yang dilaporkan oleh perusahaan keamanan. bertanggung jawab kepada perusahaan pada bulan Juli 2019.

Dalam laporan yang dibagikan dengan The Hacker News sebelum dirilis, para penyelidik Check Point mendemonstrasikan serangan enumerasi otomatis yang efektif tetapi tidak canggih untuk mengidentifikasi ID Rapat Acak yang valid alih-alih menggunakan teknik brute force.

"Seorang hacker dapat melakukan daftar panjang sebelum Rapat Zoom ID, menggunakan teknik otomasi untuk dengan cepat memverifikasi apakah ID" Setiap rapat Zoom valid atau tidak, dan kemudian masukkan rapat Zoom yang tidak dilindungi kata sandi, "kata peneliti.

"Kami dapat memprediksi ~ 4% ID. Pertemuan acak, yang merupakan peluang keberhasilan yang sangat tinggi, dibandingkan dengan kekuatan kasar murni."

Sebagai hasil dari pengungkapan Titik Periksa, Zoom memperkenalkan fitur keamanan dan fungsionalitas berikut dalam layanan konferensi video berbasis cloud:

• Kata sandi default ⁠— Zoom sekarang, secara default, secara otomatis menghasilkan kata sandi angka enam digit untuk setiap pertemuan yang Anda buat yang harus dimasukkan peserta setelah bergabung. ID pertemuan manual
• Kepatuhan Kata Sandi Akun dan Level Grup: Di bawah kontrol baru, administrator akun dapat menerapkan tiga pengaturan kata sandi baru di tingkat akun, grup, dan pengguna.
• Validasi ID Rapat Zooming tidak akan lagi secara otomatis menunjukkan apakah Anda memiliki ID rapat yang valid atau tidak, sehingga mempersulit skrip otomatis untuk menentukan rapat aktif. Untuk setiap koneksi, halaman akan dimuat dan mencoba untuk bergabung dengan rapat. Oleh karena itu, aktor jahat tidak akan dapat dengan cepat mengecilkan kumpulan pertemuan untuk mencoba bergabung.
• Mengunci perangkat Untuk menghindari serangan brute force, upaya berulang untuk memindai ID rapat akan menyebabkan perangkat macet selama beberapa waktu.

“Privasi dan keamanan pengguna Zoom adalah prioritas utama kami. Masalah ini diselesaikan pada Agustus 2019, dan kami terus menambahkan fitur dan fungsi tambahan untuk semakin memperkuat platform kami. Kami berterima kasih kepada tim Check Point karena berbagi penelitian dan kolaborasi mereka dengan kami, ”kata juru bicara Zoom kepada The Hacker News.

Pada bulan Juli tahun lalu, Zoom membuat berita setelah kerentanan keamanan serius dalam aplikasi kliennya untuk macOS yang memungkinkan penyerang jarak jauh atau situs web berbahaya untuk menyalakan kamera perangkat pengguna tanpa izin atau pengetahuan mereka.