צ'ק פוינט: פרצה חמורה אפשרה להאקרים להתחזות לחברות ומשתמשים באפליקציית Zoom
חוקרי סייבר חשפו וסייעו לתקן פרצת אבטחה חמורה באפליקציית הווידאו-צ'ט הפופולרית לאחר שהאקרים מצאו שיטה לזייף את כתובת ה-URL של זום ולהסיט אותה לצרכיהם תוך התחזות לגורמים רשמיים
חוקרי סייבר חשפו וסייעו לתקן פרצת אבטחה חמורה באפליקציית הווידאו-צ'ט הפופולרית זום. על פי הדיווח, החוקרים מצאו שיטה המאפשרת לנצל תכונה ייחודית בזום - צ'ט בעמוד אינטרנט ממותג לצבעי חברה שמשתמשת בו. התכונה נקראת Vanity URL וכוללת אפשרות להוסיף לקישור ההזמנה הרגיל של זום כתובת אינטרנט ייחודית בשם החברה השולחת. כך למשל במקום שהלינק לשיחה יהיה https://zoom.us/j, הוא יהפוך ל-https://.zoom.us. חברות וארגונים רבים עושים שימוש ביכולת זו כדי לייצר את הפגישות והשיחות שלהם בפלטפורמה.
קראו עוד בכלכליסט:
- מתחרה בזום: מיקרוסופט חשפה שורה של עדכונים לשירות שיחות הוידאו Teams
- אחרי תוצאות שיא ברבעון, הבעיה של זום היא הצפנה לשיחות הווידאו שלה
- Zoom תחזק את הצפנת שיחות הווידאו של מארחים בתשלום
התברר שהאקרים יכולים לזייף בקלות את הכתובת המורכבת מכתובת האתר הייחודי של החברה ולהסיט אותה לצרכיהם. האקר למשל היה יכול להקים כתובת פיקטיבית לאתר מזויף ולשלוח הזמנה לגורם כלשהו. לאחר שהמוזמן היה מקליק על ההזמנה הוא היה מופנה לאתר המזויף ושם מנהל צ'ט עם ההאקר או מי מטעמו. במילים אחרות, ההאקר היה יכול להתחזות לגורם רשמי מבלי שלמוזמן תהיה היכולת להבדיל.
החולשה הזו מייצרת בעיה קשה. האקר שמתחזה לגורם רשמי כלשהו יכול לשכנע את איש שיחו לבצע כל מיני פעולות. למשל לחתום על הזמנה, להעביר פרטים חסויים על פעילות עסקית או כל הוראה אחרת. לדברי חוקרי הסייבר של חברת צ'ק פוינט שחשפו את החולשה, זום תיקנה את בעיית האבטחה באמצעות יצירת מנגנון הגנה נוסף במערכת זימון הפגישות של חברות, ומשתמשי הפלטפורמה אינם צריכים לחשוש ממנה בשלב זה.
שיחת וידאו ב-Zoom קרדיט: Zoom
מאז הזינוק בפופולריות של האפליקציה מ-10 מיליון משתמשים ליותר מ-300 מיליון כיום, זום נאלצה להתמודד עם סדרה ארוכה של פרצות אבטחה בפלטפורמה שלה. היא הפכה למטרה מאוד נוחה להאקרים בעיקר מפני שהעיצוב המקורי שלה התמקד במספר מצומצם של תסריטי שימוש ובעיקר בניסיון להפוך את השימוש בה לפשוט ככל שניתן. עם זאת הפשטות הזו היתה בעוכריה. החולשה העיקרית שממנה סבלו המשתמשים היתה הקלות בה היה ניתן להסתנן לשיחות זום מרובות משתתפים ולפוצץ אותן.
בחצי השנה האחרונה הגבירה החברה את מאמציה למצוא ולסגור את חולשות האבטחה העיקריות כדי לעמוד בדרישות המשתמשים והתעשייה. עדי איקן, ראש מחלקת מחקר ופיתוח הגנות בצ'ק פוינט, שעמד בראש הצוות שפעל עם זום לאיתור ותיקון הבעיה: "מרגע שזום הפכה לאחד מערוצי התקשורת המובילים של עסקים, ממשלות וצרכנים, החשיבות של מניעת ניצול שלה על ידי גורמים זדוניים הופכת למשמעותית מאי פעם".