駭侵者可利用 Zoom 資安漏洞,以暴力試誤法破解私人視訊會議密碼
獨立資安專家 Tom Anthony 於日前發現 Zoom 一個嚴重資安漏洞,可讓駭侵者以暴力試誤法重覆嘗試,快速找出私密視訊會議的密碼並登入會議。 這個漏洞出在 Zoom web 版本;web 版本的 Zoom 連線程式不但存有 CSRF 錯誤,甚至完全不限制密碼錯誤重試次數。由於 Zoom 的會議室密碼僅為六位數字,因此理論上最多只要猜測一百萬次,最終能猜到密碼。 Tom Anthony 說,3月31日時英國首相 Boris Johnson 透過 Zoom 進行英國史上首次遠距內閣會議,在其 Twitter 推文的螢幕截圖上顯示了其 Zoom 會議室的編號,引發他的興趣,開始研究 Zoom 會議的登入機制,因而發現這個漏洞。 Tom Anthony 指出,透過自動化程式猜測密碼,要破解這麼短、組合這麼少的會議密碼,根據其測試結果,不到半小時就猜出了正確的密碼;這還是使用單線執行的結果,如果以多台主機分散執行密碼猜測工作,猜到正確密碼的速度還能大幅加快。 該專家於今年四月一日時,將其發現結果通報給 Zoom 公司,Zoom 很快就在四月九日時更新其 Web 會議連線程式;除了修正 CSRF 錯誤、新增密碼試誤次數限制外,也將密碼格式由原本易破解的六位數字,改成更長的非數字格式,完全修復這個漏洞。 |