Zoom: un bug permette agli hacker di introdursi nelle conversazioni private

zoom video
(Immagine:: zoom)

Una vulnerabilità già conosciuta nel client Web della piattaforma di videoconferenza Zoom avrebbe potuto permettere agli hacker di entrare in qualsiasi riunione privata nel giro di pochi minuti. Identificata da Tom Anthony, VP Product presso la società SEO SearchPilot, la vulnerabilità di Zoom derivava dall'assenza di moderazione nei tentativi di accesso alle riunioni private.

Come spiega Anthony in un recente post sul suo blog, le riunioni di Zoom erano protette da una password numerica di 6 cifre, permettendo un massimo di un milione di combinazioni diverse. Questo potrebbe sembrare un numero considerevole, ma purtroppo non lo è. 

Data la completa mancanza di un meccanismo di blocco o rallentamento nei casi di inserimento di password errata, a un hacker sarebbe bastato un semplice programma Python per provare tutte le password possibili e farsi strada illegalmente verso qualsiasi riunione.

Le riunioni che si sono svolte a intervalli regolari erano, inoltre, particolarmente vulnerabili agli attacchi, poiché la password rimaneva sempre la stessa per durante le sessioni pre-programmata.

La sicurezza di Zoom

Zoom ha registrato un forte aumento del numero di utenti negli ultimi mesi e serve attualmente oltre 300 milioni di partecipanti tutti i giorni.

Dopo aver spopolato in tutto il mondo a seguito delle misure di blocco dovute a coronavirus e all'aumentare del lavoro a distanza, Zoom ha dovuto però affrontare un attento esame per quanto riguarda la sicurezza. Da marzo, i ricercatori hanno scoperto una miriade di vulnerabilità nel servizio, dall'opportunità di rubare credenziali altrui, app hijacking, iniezione di codice dannoso e altro, costringendo l'azienda a sospendere per un periodo lo sviluppo del prodotto e a concentrarsi sull'eliminazione dei bug di sicurezza.

Dopo aver verificato l'exploit brute force utilizzando un programma Python grezzo in esecuzione su una macchina AWS, Anthony ha rivelato la vulnerabilità il 1 aprile, che ha portato alla sospensione del client web Zoom il 2 aprile e all'interruzione del servizio per una  una settimana. Durante questo periodo, Zoom ha implementato una politica di sicurezza che chiede agli utenti del client Web di accedere a un account prima di partecipare a una riunione. La società ha anche aumentato la lunghezza delle password predefinite e incluso caratteri non numerici, incrementando drasticamente il numero di possibili combinazioni delle password.

"Da allora abbiamo migliorato la limitazione degli accessi e aggiornato il client Web al 9 aprile. Con queste correzioni, il problema è stato completamente risolto e non è stata richiesta alcuna azione da parte dell'utente. Non siamo a conoscenza di casi pratici in quale sia stato utilizzato questo buco di sicurezza", ha spiegato Zoom in una nota.

Come osserva Anthony, tuttavia, è plausibile che un utente malintenzionato possa essersi infiltrato in una riunione di Zoom con questa modalità senza avvisare gli altri partecipanti, magari nascosto dietro un ID utente generico come "iPhone" o "PC di casa".

Fonte: Bleeping Computer

TOPICS