Исследователи кибербезопасности Check Point Research обнаружили уязвимость в платформе видео-конференц-связи Zoom. Она позволяла потенциальному злоумышленнику присоединиться к беседе без приглашения и прослушать её.
Хакер также мог бы получить доступ к любой информации или файлам, переданным во время видеоконференции. Каждый вызов Zoom имеет случайно сгенерированный идентификационный номер длиной от 9 до 11 цифр, который используется участниками в качестве своего рода адреса. Исследователи нашли способ спрогнозировать, какие встречи были действительными, примерно в 4% случаев и смогли присоединиться к некоторым из них.
Как утверждают в Check Point, они не нашли способа связать идентификатор собрания Zoom с конкретным пользователем и не смогли получить доступ к камерам или микрофонам других участников видеоконференции, пишет The Verge.
Check Point сообщила об уязвимости Zoom. В августе 2019 года компания в кратчайшие сроки устранила проблему — разработчики заменили случайную генерацию идентификационных номеров на «криптографически надёжную», добавили больше цифр и установили требование использования паролей по умолчанию для будущих виртуальных собраний.
Ранее NEWS.ru рассказал, что исследователи обнаружили новую уязвимость, названную CacheOut, в большинстве процессоров Intel. Она позволяет злоумышленникам нацелиться на конкретные данные из кеша, даже хранящиеся в защищённом анклаве Intel SGX.
