A Check Point encontrou uma nova falha de URL no Zoom que permite que hackers realizem tentativas bem-sucedidas de phishing. O problema de segurança foi relatado ao Zoom e foram emitidas correções. A vulnerabilidade reside no Vanity URL, que é uma opção no Zoom, usada para criar um URL personalizado para sua empresa.
A vulnerabilidade permite que um invasor represente o Vanity URL de uma organização e envie convites que parecem ser legítimos para enganar uma vítima. Além disso, o invasor pode redirecionar a vítima para inserir o ID da reunião no URL malicioso e não na interface web real.
Uma nova falha de URL do Zoom permite que hackers imitem links de convite
A Check Point afirmou:
O problema de segurança está focado nas funcionalidades do subdomínio. Existem várias maneiras de entrar em uma reunião que contém um subdomínio, incluindo o uso de um link direto de subdomínio que contém o ID da reunião ou a interface web personalizada da organização no subdomínio.
Um invasor pode alterar o URL do link de convite para incluir qualquer subdomínio registrado de sua escolha. Além disso, um invasor pode direcionar essa interface dedicada e redirecionar o usuário para entrar na reunião em um URL malicioso. Assim, a vítima não tem como saber que o convite não veio da organização legítima.
Como resultado, os ataques resultariam em uma tentativa bem-sucedida de phishing, que permitiria que os invasores coletassem informações confidenciais, como credenciais de login e outras ações fraudulentas.
Por fim, Adi Ikan, gerente do Grupo de Pesquisa e Proteção de Rede na Check Point, disse:
Notícias Relacionadas
Tecnologia móvel
Samsung destaca avanço nas mensagens RCS com suporte no iOS
O suporte a RCS chega ao iOS com o iOS 18.1, permitindo que usuários de Android e iPhone aproveitem uma experiência de mensagens aprimorada e sem necessidade de redes sociais.
Mercado elétrico
Xiaomi atinge R$ 7,14 bilhões em receita com veículos elétricos no 3º trimestre de 2024
Xiaomi fecha o 3º trimestre de 2024 com R$ 7,14 bilhões em receita com veículos elétricos, impulsionado pelo sucesso da série SU7, apesar do prejuízo operacional.
Nossa parceria com o Zoom proporcionou aos usuários do Zoom globalmente uma experiência de comunicação mais segura, mais simples e perfeita.
Fonte: GBHackers
Google Meet receberá alguns dos recursos mais populares do Zoom
Zoom recua e planeja oferecer criptografia de ponta a ponta a todos os usuários
Zoom admite ter cumprido pedido chinês de suspender contas de ativistas
