SearchPilot产品副总裁Tom Anthony近日上传有关应用程序Zoom的文章,内容指Zoom存在漏洞,即使用户设置密码后,其他用户依然能够不限次数试密码,以进入Zoom视频会议,衍生监看和监听的问题。
So a few months ago I realised Zoom doesn’t rate limit password attempts for meetings, and has only 1 million passwords. Meaning you could join private meetings within minutes. https://t.co/NDUEmzUprX
—Tom Anthony (@TomAnthonySEO)July 29, 2020
Tom Anthony发现,Zoom会默认6位数字密码给主持和会议参加者;根据统计,这有可能出现100万个不同的密码组合。而Zoom系统允许用户检查会议的密码是否正确,没有任何尝试次数的限制,这让攻击者可以通过尝试所有可能的密码组合,直至找到正确的密码来进入会议。
同时,Tom Anthony强调,若攻击者有意图进行监听活动,他们能够写出Python代码来尝试全部100万个可能的密码组合。此外,定期会议和个人会议会配置相同的密码,即是攻击者只需将密码破解一次,便可进入日后的视频会议。
Tom Anthony表示,这引发了个令人困扰的问题,就是攻击者是否可能已经在使用这个漏洞,来监听其他用户的视频会议。Tom Anthony向Zoom报告相关漏洞后,Zoom便立刻进行了脱机维护;Zoom也要求用户在网上版Zoom中登录并加入会议,并把默认的密码改为非数字和更长的密码,来解决这个漏洞。