Zoom Bug可能会让不请自来的人参加私人会议

如果你使用Zoom来主持远程在线会议，你需要仔细阅读这篇文章。

这一广受欢迎的视频会议软件修补了一个安全漏洞，该漏洞可能允许任何人远程窃听未受保护的活动会议，从而可能暴露整个会议期间共享的私人音频、视频和文档。

除了托管受密码保护的虚拟会议和网络研讨会，Zoom还允许用户为未预先注册的参与者设置会话，这些参与者可以通过输入唯一的会议ID加入活动会议，而无需密码或通过等候室。

Zoom为您计划或创建的每个会议生成此随机会议ID，由9、10和11位数字组成。如果泄露的信息超出了个人或预期人群，仅知道会议ID可能会允许不受欢迎的客人参加会议或网络研讨会。

这对任何希望自己的谈话是私人的人来说都可能是个坏消息。


To circumvent such scenarios, Zoom late last year introduced some additional controls under the password settings for meetings and webinars, which according to Check Point, was the result of research on security loophole the security firm responsibly reported to the company in July 2019.

在发布前与《黑客新闻》分享的一份报告中，Check Point研究人员展示了一种有效的自动但不复杂的枚举攻击，用于识别有效的随机会议ID，而不是使用蛮力技术。

研究人员称：“黑客可以预先生成一长串Zoom Meeting ID，使用自动化技术快速验证相应的Zoom Meeting ID是否有效，然后进入没有密码保护的Zoom Meeting。”。

“我们能够预测约4%的随机生成的会议ID，与纯暴力相比，这是一个非常高的成功几率。”

由于Check Point的披露，Zoom在其基于云的视频会议服务中引入了以下安全特性和功能：

• 默认密码⁠—Zoom now默认情况下会为您创建的每个会议自动生成一个六位数的数字密码，参与者在加入会议时需要手动输入会议ID。
• Account and Group Level Password Enforcement —在新的控制下，帐户管理员现在可以在帐户、组和用户级别执行三个新的密码设置。
• Meeting ID Validation —Zoom将不再自动指示会议ID是否有效，这使得自动脚本更难确定活动会议。对于每个连接，页面将加载并尝试加入会议。因此，一个糟糕的参与者将无法迅速缩小会议池以尝试加入。
• Device blocker —为了防止暴力攻击，反复尝试扫描会议ID会导致设备被屏蔽一段时间。

Zoom的一名发言人告诉《黑客新闻》：“Zoom用户的隐私和安全是我们的首要任务。该问题已于2019年8月得到解决，我们继续添加额外的功能和功能，以进一步加强我们的平台。我们感谢Check Point团队与我们分享他们的研究成果并进行合作。”。

去年7月，Zoom的macOS客户端应用程序中存在严重的安全漏洞，远程攻击者或恶意网站可以在未经用户许可或知情的情况下打开用户的设备摄像头，Zoom因此成为头条新闻。