Zoom可能不是最安全的视频会议工具,因为网络安全研究人员最近发现了两个攻击其服务器的漏洞。据专家称,这些漏洞主要针对客户端和MMR服务器。然而,就在最近,该公司在打补丁后激活了ASLR。
Zoom上的“零点击攻击”漏洞
根据分析该视频通话平台由“零计划”的娜塔莉·西尔瓦诺维奇(Natalie Silvanovich)负责,该平台存在安全漏洞。基于探测,他们受到了Pwn2Own演示期间的零点击开发的启发。
Silvanovich透露,这两个漏洞针对Zoom多媒体路由器(mmr)和Zoom客户端。还有另一个形式的MMR服务器数据泄漏。
“在过去,我没有优先审查Zoom,因为我认为任何针对Zoom客户端的攻击都需要用户多次点击,”娜塔莉解释道。
她补充说,实施攻击并不难,要说服用户加入需要多次点击的Zoom视频会议。这为经常使用该平台开会的组织提供了一些可能性。
因此,研究人员注意到地址空间布局随机化(ASLR)缺失了。这个重要的安全组件将保护系统不受内存中断的影响。
此外,Silvanovich写道,ASLR在阻止潜在的内存破坏利用方面非常重要。她还得出结论,首先没有明确的理由应该禁用它。
西尔瓦诺维奇承认他没有完成对极速的完整攻击链。无论如何,她高度怀疑这可能发生在一个“坚定的攻击者”手中,他有更多的时间和“足够的投资”。
相关文章:谷歌禁止Zoom应用程序的安全漏洞:为什么使用Zoom不安全?
Zoom的安全审查很困难
每ZDNet的Zoom在去年11月24日修补了上述漏洞后激活了ASLR。然而,还有一件事让零计划团队感到担忧。
据安全专家称,Zoom具有“封闭”性质,这使得他们更难进行安全审查。这是因为视频会议工具不包括WebRTC和其他开源组件。
西尔瓦诺维奇指出,Zoom面临的这些挑战阻碍了他们对这些漏洞的调查。她认为,该平台可以为那些想要检查其安全漏洞和其他方面的安全分析师改善其可访问性。
为什么Zoom会给用户带来危险
2020年,《科技万博体育登录首页时报》报道称,纽约当局调查了这款电话会议应用,此前有报道称,该应用涉嫌将用户详细信息出售给第三方平台。此外,Zoom还面临指控关于在会议中出现的喷子和陌生人。
当时,Zoom首席执行官Eric Yuan回应了这些指控,并表示他们知道这些投诉。在注意到客户隐私的重要性后,他写道,他们正在考虑在基于苹果的客户端中删除FB SDK。
去年,我们也写过一些网络安全顾问担心的事情Zoom的屏幕共享功能.据他们称,这一功能可能会在用户不知情的情况下泄露用户的机密信息。
读也:欧洲刑警组织称,VPNLab.net因涉嫌帮助黑客传播勒索软件而被查获
本文归科技时报所有万博体育登录首页
作者:约瑟夫·亨利