Home Portale BitMat Portale Focus On Scoperte vulnerabilità nelle videoconferenze di Zoom

Scoperte vulnerabilità nelle videoconferenze di Zoom

-

Tempo di lettura: 2 minuti

Check Point Research, ha scoperto che sarebbe stato facilissimo per un hacker intrufolarsi ai meeting online con Zoom e ascoltare le riunioni. La piattaforma cloud di Zoom per videoconferenze e audioconferenze, networking, chat e webinar – per dispositivi mobile, desktop e telefoni – è utilizzata con successo per sale conferenze, corsi di formazione, riunioni di uffici esecutivi e dei board aziendali.

L’unica forma di sicurezza erano i Meeting ID

Il problema di vulnerabilità sorgeva se l’organizzatore non aveva abilitato l’opzione “Richiedi password per il meeting” o non aveva abilitato l’attesa (“Waiting Room”) – che consente l’ammissione manuale dei partecipanti. In questo caso, quindi, le 9/10/11 cifre che compongono iI Meeting ID di Zoom erano l’unica cosa che garantiva la sicurezza della riunione, quindi erano l’unico elemento che impediva ad una persona non autorizzata di collegarsi al meeting.

I ricercatori di Check Point sono stati in grado di prevedere circa il 4% dei meeting ID generati in modo casuale, il che è indice dell’alta probabilità di successo che avrebbero potuto avere gli hacker malintenzionati.

Lo scorso luglio, Check Point ha informato Zoom di questa vulnerabilità, proponendo le seguenti correzioni per attenuare il problema:

  1. Re-implementare l’algoritmo di generazione dei Meeting ID
  2. Sostituire la funzione di randomizzazione con una funzione crittograficamente forte
  3. Aumentare il numero di cifre nei Meeting ID
  4. Spingere gli organizzatori dei meeting a richiedere password\PIN\SSO per l’accesso

Zoom è stata molto collaborativa e ha risposto immediatamente apportando una serie di modifiche per risolvere in modo adeguato questa vulnerabilità.

Le password vengono ora aggiunte tramite impostazione predefinita a tutte le riunioni

  • Gli utenti possono aggiungere una password alle riunioni programmate prima della patch e che non avevano questa impostazione
  • Le impostazioni della password possono essere applicate a livello di singolo account e per i gruppi dall’amministratore dell’account
  • Zoom non indicherà più automaticamente se un ID riunione è valido o non valido. Per ogni tentativo, la pagina verrà caricata e tenterà di partecipare al meeting. Così non sarà possibile restringere rapidamente il gruppo di riunioni e tentare di parteciparvi.
  • Tentativi ripetuti di ricerca degli ID riunione causeranno il blocco di un dispositivo per un periodo di tempo

Qui la ricerca completa.

Redazione BitMAThttps://www.bitmat.it/
BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.
  • Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

  • I più letti

    L'importanza dei dati per le decisioni strategiche

    L’importanza dei dati per le decisioni strategiche

    L'automazione robotizzata dei processi (RPA) consente un'acquisizione rapida ed efficiente dei dati
    Scoperte nuove vulnerabilità della MFA del cloud Microsoft 365

    Scoperte nuove vulnerabilità della Multi Factor Autentication di Microsoft 365

    Gli aggressori possono bypassare l'autenticazione e accedere alle applicazioni cloud che utilizzano il protocollo
    Completata chiamata dati 5G a lungo raggio su rete commerciale USA con mmWave

    Completata chiamata dati 5G a lungo raggio su rete commerciale USA con mmWave

    U.S. Cellular, Qualcomm ed Ericsson hanno raggiunto la distanza di oltre 5 km e la velocità di oltre 100 Mbps
    scuola-del-futuro

    Il futuro della scuola è online?

    La nuova sfida più grande consiste nello sviluppare un intero ecosistema del processo di insegnamento-apprendimento online che sia paragonabile al sistema tradizionale.
    Human augmentation: gli italiani i più entusiasti

    Human augmentation: gli italiani i più entusiasti

    Molti credono che sia riservata ai ricchi e temono che il corpo possa diventare bersaglio dei criminali informatici