قام تطبيق زوم المشهور الخاص بمؤتمرات الفيديو مؤخرًا بإصلاح ثغرة أمنية جديدة كان من الممكن أن تسمح للمهاجمين المحتملين بكسر رمز المرور الرقمي المستخدم لتأمين الاجتماعات الخاصة على النظام الأساسي والتطفل على المشاركين.

اجتماعات تطبيق زوم محمية افتراضيًا بكلمة مرور رقمية مكونة من ستة أرقام، ولكن وفقًا لتوم أنتوني، نائب رئيس المنتج في SearchPilot الذي حدد المشكلة، فإن المهاجم قادر على تجربة المليون كلمة مرور في غضون دقائق في محاولة للوصول إلى اجتماعات الزوم الخاصة بالآخرين، والتي يفترض أنها محمية.

أنتوني أبلغ عن المشكلة الأمنية في 1 أبريل 2020، لتقوم شركة زوم بإصلاح المشكلة بعد أسبوع. ومنذ ذلك الحين، بدأ يتطلب استخدام Zoom رمز مرور لجميع الاجتماعات كإجراء وقائي لمكافحة الهجمات، والتي تؤدي عادة إلى تعطيل العمل او اختطاف الاجتماعات او التدخل بشكل غير شرعي لمشاركة محتوى فاحش وعنصري.

اختراق تطبيق زوم

فحقيقة أن الاجتماعات تم تأمينها افتراضيًا بواسطة رمز مكون من ستة أرقام يعني أنه لا يمكن أن يكون هناك أكثر من مليون كلمة مرور يمكن تجربتها بحد أقصى. وفي حالة عدم وجود عمليات تحقق لمحاولات كلمة المرور غير الصحيحة المتكررة، يمكن للمهاجم الاستفادة من ذلك لإرسال طلبات HTTP باستمرار لتجربة مليون نسخة في دقائق معدودة.

بشكل منفصل، تم الكشف عن مشكلة أخرى أثناء عملية تسجيل الدخول عبر استخدام الويب، بحيث يمكن إعادة توجيه المستخدم مؤقتة إلى صفحة أخرى للحصول على موافقته على شروط الخدمة وسياسة الخصوصية، وبذلك يحصل المهاجم على إمكان الولوج إلى اجتماعات العملاء الخاصة.

من جهتها، قامت منصة مؤتمرات الفيديو بالتدقيق في عدد من المشكلات الأمنية مع ارتفاع استخدام المنصة خلال جائحة فيروس كورونا المستجد، بتصحيح العيوب بسرعة عند الكشف عنها، وصولا إلى حد الإعلان عن تجميد لمدة 90 يوما لإطلاق ميزات جديدة تقوم بتحديد المشكلات ومعالجتها وإصلاحها بشكل استباقي.

تجدر الإشارة إلى أنه في وقت سابق من هذا الشهر، عالجت الشركة ثغرة أمنية أخرى في تطبيق Windows الخاص بها والتي يمكن أن يسمح للمهاجمين بتنفيذ تعليمات برمجية عشوائية على كمبيوتر الضحية الذي يعمل بنظام التشغيل Windows 7 أو أقدم.