Уязвимость в Zoom может позволить хакерам подслушивать звонки

Уязвимость в Zoom может позволить хакерам подслушивать звонки. Фото: из архива компании

Недостатки безопасности в настольных телефонах AudioCodes и функциях Zoom Zero Touch Provisioning (ZTP) обнаружил эксперт по безопасности Мориц Абрелл из компании SySS. Уязвимость кроется функциях, которые позволяют администраторам централизованно настраивать VoIP-устройства .

Когда инструмент пытается получить файлы конфигурации из службы ZTP, он делает это без какого-либо механизма аутентификации на стороне клиента.  Злоумышленники могут воспользоваться этим, чтобы отправить вредоносное ПО со своего сервера.

Исследователь обнаружил еще одну проблему неправильной аутентификации, на этот раз в криптографических процедурах стационарных VoIP-телефонов AudioCodes, которые мошенники могли использовать для расшифровки конфиденциальной информации. Если объединить эти два недостатка, то злоумышленник может получить цепочку эксплойтов и полный доступ к уязвимым устройствам.

Из сообщения Морица Абрелла:

«В сочетании эти уязвимости можно использовать для удаленного захвата произвольных устройств. Поскольку эта атака хорошо масштабируется, она представляет собой значительную угрозу безопасности».

Три года назад, в первые дни пандемии Covid-19, Zoom был одним из наиболее часто используемых приложений. Это привело к огромному всплеску популярности. В результате хакеры изучали код программы, находя уязвимость за уязвимостью. В какой-то момент компания остановила все производство и сосредоточилась исключительно на повышении безопасности своих услуг.

Однако, как показывает отчет Морица Абрелла, команда разработчиков  Zoom «заткнула» не все «дыры» в безопасности платформы.

Startpack подготовил список сервисов, которые помогут провести видеоконференцию. Помимо стандартной видеосвязи между двумя или несколькими абонентами, инструменты позволяют отправлять сообщения в режиме реального времени, обмениваться файлами, совместную работу с документами. Есть возможность быстро организовать текстовый чат. Продукты представлены в виде веб-сервисов, а также локальных приложений. Инструменты работают под разными операционными системами. Они могут быть установлены в облако или на локальный ПК или мобильный гаджет.

Статьи по теме

• В Zoom не будут использовать клиентский контент для обучения ИИ.
• Пользователи Microsoft Outlook смогут присоединиться к собранию в Teams с помощью сторонней службы видеоконференций Zoom или Google Meet.
• Zoom анонсирует новую функцию с искусственным интеллектом для конференцзалов.