A falta de limitação em tentativas repetidas de senha permitiu que possíveis invasores decifrassem senhas numéricas usadas para proteger reuniões privadas do Zoom.
Tom Anthony, vice-presidente de produtos da SearchPilot, diz:
As reuniões do Zoom são protegidas por senha numérica de 6 dígitos, o que significa 1 milhão de senhas no máximo.
Portanto, a vulnerabilidade que ele viu no cliente web do Zoom permitiu que os invasores adivinhassem a senha de qualquer reunião, tentando todas as combinações possíveis até encontrar a correta.
Bug do Zoom permitiu que invasores decifrassem senhas de reuniões privadas
Anthony diz:
Isso permite que um invasor tente todas as 1 milhão de senhas em questão de minutos e obtenha acesso às reuniões privadas do Zoom (protegidas por senha) de outras pessoas.
Além disso, isso levanta a questão preocupante de saber se outros já estavam potencialmente usando essa vulnerabilidade.
Dessa forma, como os invasores não precisariam percorrer toda a lista de 1 milhão de senhas possíveis, isso poderia reduzir drasticamente o tempo necessário para decifrá-las.
Como Anthony conseguiu demonstrar, ele poderia decifrar a senha de uma reunião (incluindo reuniões agendadas) dentro de 25 minutos após a verificação de 91.000 senhas usando uma máquina da AWS. Assim, Anthony acrescentou:
Notícias Relacionadas
Tecnologia móvel
Samsung destaca avanço nas mensagens RCS com suporte no iOS
O suporte a RCS chega ao iOS com o iOS 18.1, permitindo que usuários de Android e iPhone aproveitem uma experiência de mensagens aprimorada e sem necessidade de redes sociais.
Mercado elétrico
Xiaomi atinge R$ 7,14 bilhões em receita com veículos elétricos no 3º trimestre de 2024
Xiaomi fecha o 3º trimestre de 2024 com R$ 7,14 bilhões em receita com veículos elétricos, impulsionado pelo sucesso da série SU7, apesar do prejuízo operacional.
Com a segmentação aprimorada e a distribuição entre 4-5 servidores na nuvem, você pode verificar o espaço inteiro da senha em alguns minutos.
Após o relatório de Anthony, a Zoom retirou o cliente web a partir de 2 de abril para solucionar a vulnerabilidade. Assim, o Zoom abordou o problema de limitação de tentativa de senha exigindo que o usuário efetue login para ingressar em reuniões no web client e atualizando as senhas padrão da reunião para não serem numéricas e mais longas.
Por fim, o fundador e CEO da Zoom, Eric S. Yuan, disse em abril que a plataforma de videoconferência ultrapassava 300 milhões de participantes diários.
Fonte: Bleeping Computer
Uma nova falha de URL do Zoom permite que hackers imitem links de convite
Google Meet receberá alguns dos recursos mais populares do Zoom
Zoom recua e planeja oferecer criptografia de ponta a ponta a todos os usuários
Zoom admite ter cumprido pedido chinês de suspender contas de ativistas
