NÚKIB upozorňuje na rizika online konferenčních služeb, především aplikaci ZOOM
- 03 Dub, 2020
- OdCentrum kyberbezpečnosti
V současné době, kdy mnoho lidí pracuje z domu a je odkázána na online komunikaci, upozorňujeme na rizika spojená s používáním audio a video komunikačních služeb. Ty mohou být lákavým cílem útočníků k odposlechu citlivých informací, nebo vydávání se za spolupracovníky, a je tedy třeba dbát zvýšené opatrnosti při ochraně informací.
Zejména pak upozorňujeme na zranitelnosti služby Zoom, která se během aktuální situace stala velmi populárním řešením pro videokonference. Služba je momentálně častým cílem útoků, pokusů o neoprávněné připojení do hovoru (tzv. Zoombombing), a měla aktuálně odhalené závažné zranitelnosti ve Windows i MacOS, které potenciálně umožňovaly útočníkům i neoprávněný přístup k cílovému počítači. Tyto zranitelnosti jsou již v aktuální verzi opraveny, mohou se nicméně stále týkat starších verzí klienta.
Doporučujeme důrazně zvážit případné použití služby ke komunikaci, obsahující citlivé informace, a to jak z důvodů výše uvedených, tak z důvodu absence podpory skutečného end-to-end šifrování. Zoom dříve tuto funkci propagoval i v popisu služby. Komunikace je šifrována, ovšem nikoliv přímo mezi komunikujícími stranami, ale mezi uživatelem a servery Zoom. Zoom deklaruje, že nemá prostředky k dešifrování ani přístupu k hovorům, komunikaci nicméně takto nelze považovat za 100% důvěrnou.
Platforma také pro každou konferenci přidělovala ID, pomocí kterého se účastníci připojovali. Toto ID, tvořené 9 až 11 čísly, ale bylo možné odhadnout a neoprávnění uživatelé tak mohli vstoupit do cizích konferencí. Tuto zranitelnost už Zoom opravil změnou způsobu generování ID. Před neoprávněným vstupem do konference lze také zabránit použitím funkce Waiting room během zakládání videokonference, každý účastník před připojením pak musí být schválen.
Obecně doporučujeme obezřetnost při vzdálené komunikaci – důsledně ověřovat identitu druhé strany, neotvírat neověřené odkazy a přílohy, a to zejména od neznámých osob, a pokud je to možné, používat spolehlivé end-to-end šifrování.
Zdroje:
https://theintercept.com/2020/03/31/zoom-meeting-encryption/
https://arstechnica.com/information-technology/2020/04/unpatched-zoom-bug-lets-attackers-steal-windows-credentials-with-no-warning/
https://www.windowscentral.com/zoom-vulnerability-can-leak-your-windows-login-name-and-password
https://threatpost.com/two-zoom-zero-day-flaws-uncovered/154337/
https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf
https://www.bleepingcomputer.com/news/security/zoom-lets-attackers-steal-windows-credentials-run-programs-via-unc-links/
https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/
https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/