Zoom 又爆安全漏洞 - 會議預設 6 位純數字密碼,幾分鐘就可破解

- 軒仔 - 2020-07-31

Zoom 在疫情推動下大受歡迎,不過卻接二連三發生資安問題,後來承諾為收費用戶提供更高強的保安加密。且期間還曾停止新功能發佈 90 天,以修復軟件內的各種漏洞。

近日,安全研究員 Tom Anthony 公佈了 Zoom 的一個重要安全漏洞。而透過這個漏洞,任何人都可以加入受密碼保護的 Zoom 會議。Zoom 的會議預設由 6 位數字密碼保護,所以僅有 100 萬個不同的密碼組合。

而 Zoom 的客戶端允許任何人檢查會議密碼的正確性,且無任何錯誤次數限制。故攻擊者利用小小的 Python 代碼來嘗試全部 100 萬個密碼組合,只需幾分鐘就能夠破解到正確密碼。

在研究員 Tom 向 Zoom 提交報告後,Zoom 的客戶端就馬上進行了離線維護。而 Zoom 要求用戶在 web 客戶端中登錄加入會議,以及更新預設會議密碼為非數字和更長的密碼來緩解這個問題。即使此問題現已修復,但其引發一系列還人不安的問題:是否已有攻擊者利用此漏洞來監聽他人的視像會議 ? 例如政府會議 ?