Bug no Zoom permitia que hackers decifrassem senhas de salas virtuais

Limitação de seis dígitos numéricos como senha possibilitava que invasores obtivessem acesso em videoconferências privadas

Da Redação, editado por Daniel Junqueira 03/08/2020 19h00
zoom
A A A

Um milhão de possibilidades de senhas numéricas podem não ser suficientes para combater hackers motivados. A conclusão foi feita pelo vice-presidente de produtos da SearchPilot, Tom Anthony, que descobriu que a limitação das senhas na ferramenta Zoom permitia que invasores decifrassem os códigos de acesso de reuniões privadas de videoconferência.


Como o password limitava-se a seis dígitos numéricos, as possibilidades chegavam a, no máximo, um milhão. Embora o número de probabilidades pareça alto, Anthony conseguiu demostrar como ele poderia decifrar a senha em apenas 25 minutos. Como não é necessário percorrer toda a lista de um milhão de códigos, com ajuda de uma máquina AWS (sistema da Amazon que dispõe de serviços de machine learning e inteligência artificial), ele conseguiu descobrir o código após a verificação de 91.000 senhas.

"Com a segmentação aprimorada e a distribuição entre quatro ou cinco servidores na nuvem, você pode verificar o espaço inteiro da senha em alguns minutos", disse Antony. O vice-presidente da SearchPilot teme que a vulnerabilidade possa ter sido explorada há algum tempo, já que o mesmo código de acesso era utilizado em reuniões recorrentes dos clientes.

image-from-rawpixel-id-922361-jpeg.jpg

Restrição de seis dígitos numéricos para senhas de reuniões privadas facilitavam invasões virtuais. Foto: Rawpixel

Após Antony relatar o problema à Zoom, a empresa retirou o sistema do ar no dia 2 de abril para fazer os ajustes. Uma semana depois, a companhia reativou o sistema, apresentando aprimoramentos nas definições das senhas e correções de token CSRF.

A Zoom passou a exigir que usuários efetuem login para ingressas nas reuniões e alterou o padrão das senhas, permitindo que sejam mais longas e composta por outros caracteres.

Problemas com segurança são recorrentes

Desde o início de 2020, a plataforma — que possui 300 milhões de participantes diários — tem apresentado diversas vulnerabilidades em suas operações. Em janeiro, uma brecha na segurança permitia que invasores identificassem e participassem de reuniões desprotegidas por meio de invasões dos IDs.

Em abril, exploits zero-day — códigos que exploram vulnerabilidades desconhecidas — utilizados para violar o client da Zoom em sistemas Windows e macOS estavam sendo vendidos por US$ 500 mil (R$ 2,6 milhões). No episódio, mais de 500 mil contas da plataforma foram colocadas à venda no mercado negro da internet por menos de um centavo e, em alguns casos, distribuídas gratuitamente.

Mais recentemente em julho, a Zoom também corrigiu um bug zero-day que permitia o acesso remoto de invasores no aplicativo em sistemas vulneráveis de Windows 7.

Via: Bleeping Computer

Hackers Bug zoom falha de segurança videoconferência
Você faz compras Online? Não deixe de conferir a nova extensão do Olhar Digital que garante o preço mais baixo e ainda oferece testadores automáticos de cupons. Clique aqui para instalar.

Recomendados pra você