Zoom -sikkerhedsfunktion lader ikke -godkendte brugere se møder, finder forskere

Zoom, videokonferencetjenesten, der er eksploderet i det vakuum, der er skabt af COVID-19-udbruddet, har udholdt afsløringen af ​​en række privatlivs- og sikkerhedsfejl i de seneste dage. Nu har forskere identificeret netop en sådan fejl i en funktion, der markedsføres specifikt som en måde at gøre møder mere sikre.

Zoom sagde onsdag, at det havde rettet en sårbarhed med sin venteværelsesfunktion.

Funktionen giver mødeværter mulighed for at beholde kommende deltagere i en digital kø i afventning af godkendelse. Læger kan bruge det til at afholde flere telehealth -aftaler i træk, og ansættelsesledere kunne foretage stablede videointerviews, foreslog virksomheden i et blogindlæg i februar.

Da brugerne har stødt på problemer med "zoombombing" - hvorved deltagerne afbryder og afsporer møder, ofte ved at bruge stødende billeder eller racistiske bagvaskelser - virksomheden har peget på venteværelsesfunktionen som en måde at beskytte mod denne type indtrængen.

Men sikkerhedsforskere, der undersøgte desktopklienten for sårbarheder, fandt ud af, at Zoom -servere automatisk ville sende en live videodata til brugere i mødets venteværelse, selvom de endnu ikke var blevet godkendt til at deltage i den person, der holder mødet. Disse brugere blev også sendt mødets dekrypteringsnøgle - den kode, der er nødvendig for at låse op for sikker kommunikation. Brugere kunne hypotetisk udtrække videoens livestream, sagde forskere.

"Hvis du var moderat teknisk sofistikeret, du kunne se, hvad der foregik i venteværelset, "sagde Bill Marczak, en stipendiat ved Citizen Lab og en postdoktorforsker ved UC Berkeley, der fandt sårbarheden. En lydstrøm af opkaldet, imidlertid, var ikke tilgængelig.

Marczak sagde, at han og John Scott-Railton fra Citizen Lab underrettede Zoom i sidste uge. De redegjorde for deres resultater i en rapport offentliggjort onsdag, efter at de modtog en e -mail fra virksomheden om, at problemet var rettet.

På onsdag, Zoom -administrerende direktør Eric Yuan nævnte under et webinar, der blev afholdt for at imødegå bekymringer om fortrolighed, at Zoom havde løst et problem med dens venteværelsesfunktion.

"Vi opdaterede vores server. Vores sårbarhed i venteværelset er allerede rettet, "Sagde Yuan på webinaret." Fra serversiden, vi sendte ikke lyd- og videodata til venteværelsesklienten. Imidlertid, vi sendte sessionsnøglen .... Vi troede ikke, at det var sikkert, så vi ændrede vores server. "

Yuans kommentar stemte ikke overens med, hvad Marczak og Scott-Railton fandt, de skrev. Videostrømmen var tidligere tilgængelig, selvom problemet siden er blevet rettet, Sagde Marczak.

Zoom reagerede ikke umiddelbart på en anmodning om kommentar om denne uoverensstemmelse.

© 2020 Los Angeles Times
Distribueret af Tribune Content Agency, LLC.