Уязвимость в Zoom может позволить хакерам подслушивать звонки
Уязвимость в Zoom может позволить хакерам подслушивать звонки. Фото: из архива компании
Недостатки безопасности в настольных телефонах AudioCodes и функциях Zoom Zero Touch Provisioning (ZTP) обнаружил эксперт по безопасности Мориц Абрелл из компании SySS. Уязвимость кроется функциях, которые позволяют администраторам централизованно настраивать VoIP-устройства .
Когда инструмент пытается получить файлы конфигурации из службы ZTP, он делает это без какого-либо механизма аутентификации на стороне клиента. Злоумышленники могут воспользоваться этим, чтобы отправить вредоносное ПО со своего сервера.
Исследователь обнаружил еще одну проблему неправильной аутентификации, на этот раз в криптографических процедурах стационарных VoIP-телефонов AudioCodes, которые мошенники могли использовать для расшифровки конфиденциальной информации. Если объединить эти два недостатка, то злоумышленник может получить цепочку эксплойтов и полный доступ к уязвимым устройствам.
Из сообщения Морица Абрелла:
«В сочетании эти уязвимости можно использовать для удаленного захвата произвольных устройств. Поскольку эта атака хорошо масштабируется, она представляет собой значительную угрозу безопасности».
Три года назад, в первые дни пандемии Covid-19, Zoom был одним из наиболее часто используемых приложений. Это привело к огромному всплеску популярности. В результате хакеры изучали код программы, находя уязвимость за уязвимостью. В какой-то момент компания остановила все производство и сосредоточилась исключительно на повышении безопасности своих услуг.
Однако, как показывает отчет Морица Абрелла, команда разработчиков Zoom «заткнула» не все «дыры» в безопасности платформы.
Startpack подготовил список сервисов, которые помогут провести видеоконференцию. Помимо стандартной видеосвязи между двумя или несколькими абонентами, инструменты позволяют отправлять сообщения в режиме реального времени, обмениваться файлами, совместную работу с документами. Есть возможность быстро организовать текстовый чат. Продукты представлены в виде веб-сервисов, а также локальных приложений. Инструменты работают под разными операционными системами. Они могут быть установлены в облако или на локальный ПК или мобильный гаджет.
Статьи по теме
Комментариев пока не было