Přes Zoom lze ukrást přihlašovací údaje do Windows

3. 4. 2020

Sdílet

 Autor: © sellingpix - Fotolia.com
Zoom opět v hledáčku bezpečnostních analytiků. Komunikační aplikace lze zneužít ke zjištění přihlašovacích údajů do Windows.

V komunikační aplikaci Zoom byla objevena chyba, která útočníkům umožňuje vložit do probíhajícího chatu škodlivý odkaz a zneužít ho ke zcizení hesla Windows.

Web The Hacker News útok charakterizuje jako „UNC path injection“ (vsunutí UNC cesty), které je možné díky tomu, že Windows při pokusu o připojení a stažení souboru vystavuje na vzdálený server uživatelské jméno a heslo. Vše, co útočník k zahájení útoku potřebuje, je tedy jen odeslání odkazu, a to, aby na něj uživatel kliknul.

Heslo pro Windows je sice šifrované, dle The Hacker News je však jeho rozšifrování pomocí nástrojů třetích stran relativně snadné, zvlášť, je-li slabší.

Jak Zoom nabírá na popularitě (hodnota jeho akcií se jen během letošního roku zdvojnásobila), dostává se do hledáčku též komunity zaměřené na bezpečnost, která v komunikačních a konferenčních aplikacích hledá jejich slabiny. Krom nedávno medializovaného rizika „zoombombingu“ (trollingu ve videokonferencích), kritici upozorňují i na nejasnosti v šifrování. Zatímco vývojáři tvrdí, že komunikace na Zoomu využívá end-to-end šifrování, fakt je, že takto zabezpečený je jen textový chat, nikoliv videohovory.

bitcoin školení listopad 24

Minulý rok byla pro změnu odhalena chyba, díky které mohl volající zapnout druhému uživateli jeho kameru bez svolení. Ta už byla sice záplatována, na aktuální bug však vývojáři dosud nereagovali. The Hacker News tak zatím doporučují buď vypnout v nastavení zabezpečení Windows automatický přenos NTLM přihlašovacích údajů na vzdálený server, anebo prostě používat Zoom Web Client, tedy verzi přímo v prohlížeči.

A aby toho nebylo málo, jeden z uživatelů na Zoom v pondělí podal žalobu kvůli údajnému zneužití osobních dat. Tvrdí, že aplikace bez předchozího upozornění data sdílí s třetími stranami, včetně Facebooku. Na to ostatně už dřív upozornil magazín Motherboard, dle kterého data s Facebookem sdílela verze aplikace pro iOS. Firma tehdy pochybení údajně napravila.