zoom se stala jednou z nejoblíbenějších aplikací pro online videokonference a kontakt s ostatními uživateli. Je to program, který ze své podstaty potřebuje neustále zachovávat soukromí. V tomto článku však opakujeme řadu zranitelností to může ohrozit uživatele tohoto nástroje. Je možné, že by útočník mohl zachytit videohovory.
Chyby zabezpečení v Zoomu ohrožují soukromí
Skupina výzkumníků počítačové bezpečnosti z Positive Technologies identifikovala celkem tři kritické chyby ovlivňující platformu Zoom. To má vliv na různé programy a nástroje, jako je Zoom Virtual Room Connector, Zoom Meeting Connector Controller nebo Zoom Recording Connector.
Co by ale mohl útočník způsobit v případě zneužití těchto zranitelností? Mohli zachytit videokonference Zoom a ohrozit soukromí uživatelů. Na konci dne máme co do činění s typem služby, která vyžaduje kompletní zabezpečení.
Tyto chyby zabezpečení byly registrovány jako CVE-2021-34414 , CVE-2021-34415 a CVE-2021-34416 . Potenciální útočník by měl možnost spustit libovolný kód na serveru prostřednictvím oprávnění uživatele root. Poskytli seznam aplikací, které jsou zranitelné a na které by uživatelé měli být opatrní:
- Meeting Connector Controller do verze 4.6.348.20201217
- Meeting Connector MMR do verze 4.6.348.20201217
- Recording Connector do verze 3.8.42.20200905
- Virtual Room Connector až do verze 4.4.6620.20201110
- Virtual Room Connector Load Balancer až do verze 2.5.5495.20210326
Druhá ze zranitelností by umožnila útočníkovi způsobit zhroucení systému, čímž by ohrozila funkčnost softwaru a omezila používání Zoomu dotčenými organizacemi a uživateli. V tomto případě to ovlivní Zoom On-Premise Meeting Connector Controller a bylo odstraněno ve verzi 4.6.358.20210205.
Existuje však další třetí chyba zabezpečení a v tomto případě by útočník mohl zadat určité příkazy. Ovlivňuje:
- Meeting Connector až do verze 4.6.360.20210325
- Meeting Connector MMR do verze 4.6.360.20210325
- Recording Connector do verze 3.8.44.20210326
- Virtual Room Connector až do verze 4.4.6752.20210326
- Virtual Room Connector Load Balancer až do verze 2.5.5495.20210326
Mějte na paměti, že všechny tyto chyby zabezpečení lze zneužít, pokud se útočníkovi podaří získat přihlašovací údaje uživatele s právy správce.
Jak se vyhnout oběti tohoto problému
Co tedy můžeme udělat, abychom se nestali obětí takového problému a naše videohovory Zoom byly kompromitovány? První věc je, že musíme vždy dodržovat vše aktualizováno na nejnovější dostupné verze. Tyto zranitelnosti, které jsme viděli, již byly opraveny. Je nezbytné mít vše s odpovídajícími záplatami.
Také jsme viděli, že potřebují získat přihlašovací údaje zneužít je. Proto je nezbytné mít hesla, která jsou silná a obsahují všechny prvky, které zabraňují vstupu jakéhokoli narušitele. Dobrý klíč je ten, který je zcela náhodný a obsahuje písmena (velká i malá), čísla a další speciální symboly. Vždy můžeme mít na paměti správce hesel.
Na druhou stranu vždy doporučujeme instalovat programy z oficiálních zdrojů. To také pomůže snížit riziko, že se do našeho systému dostane potenciální škodlivý software a ohrozí bezpečnost a soukromí.