如果没有更多的变焦漏洞被发现,似乎几乎没有一天可以过去-今天不仅有一个,而且还有两个。
(资料图片仅供参考)
(adsbygogle=window.adsbygogle||[]).push({});
Verge报告说,一群安全专业人员能够使用暴力攻击,在一天内访问大约2400次变焦会议的敏感细节。
安全专家布赖恩·克莱布的一份新报告显示,由安全研究人员开发的一个自动化工具能够在一小时内找到大约100个缩放会议ID,并在一天的扫描中找到近2400个缩放会议的信息。
据报道,安全专业人士Trent Lo和位于堪萨斯城的安全会议小组SecKC的成员制作了一个名为zWarDial的程序,该程序可以自动猜测Zoom会议ID,其长度为9到11位,并收集有关这些会议的信息。
除了能够找到大约100次每小时的会议,z战争拨号的一个例子可以成功地确定一个合法的会议ID14%的时间,洛告诉克雷布斯的安全。 根据与克雷布斯分享的关于安全的数据,作为近2400次即将举行或反复举行的Zoom会议z战争拨号的一部分,该程序提取了一个会议的Zoom链接、日期和时间、会议组织者和会议主题。
数字如此之高,这导致Zoom怀疑它在默认情况下要求密码的操作是否无效。
“除非账户所有者或管理员选择退出,否则自去年年底以来,默认启用了新会议密码。 我们正在研究独特的边缘情况,以确定在某些情况下,与帐户所有者或管理员无关的用户在更改时是否默认打开了密码。
此外,拦截报告说,变焦的加密似乎有严重的缺陷。
多伦多大学[…]的研究人员称,Zoom会议是一种日益流行的视频会议服务,它使用一种具有严重、众所周知的弱点的算法进行加密,有时中国服务器发出的密钥,即使会议参与者都在北美
他们得出结论[.]Zoom的服务“不适合秘密”,它可能有法律义务向中国当局披露加密密钥,并“响应”来自他们的压力。
该大学还发现,所使用的加密形式比Zoom声称的要弱,而且对较弱的标准的执行特别差。
该公司声称Zoom会议使用256位AES密钥受到保护,但公民实验室的研究人员证实,使用中的密钥实际上只有128位。 这类密钥今天仍然被认为是安全的,但在过去的十年里,许多公司一直在转向256位密钥。
此外,Zoom使用一种名为“电子码本(ECB)模式”的算法用AES加密和解密,“这是一个很好的理解是一个坏主意,因为这种加密模式保留了输入中的模式,”公民实验室的研究人员说。 事实上,欧洲央行被认为是AES可用模式中最差的。
该公司正在做出回应,但如果你还没有使用众多替代品中的一种,最新的Zoom漏洞可能会说服你这样做。 在我的技术朋友中,Whoby似乎是一个很受欢迎的选择。
![[视频]中央台办负责人发表谈话就赖清德“过境”窜美表明严正立场](http://img.xhyb.net.cn/2022/0923/20220923104641571.jpg)
Copyright @ 2001-2015 www.henanonline.813006.com All Rights Reserved
河南在线 版权所有
