Check Point descobre vulnerabilidades na plataforma Zoom que permitia aos cibercriminosos acessar conversas das reuniões

Os pesquisadores da Check Point conseguiram provar que os cibercriminosos podiam gerar e verificar facilmente os IDs da Zoom Meeting para atingir as vítimas, permitindo-lhes espionar as reuniões do Zoom, fornecendo acesso intrusivo a todos os áudios, vídeos e documentos compartilhados durante todo o tempo de realização da reunião.

Como funciona essa vulnerabilidade

Os IDs de reunião do Zoom são compostos por indicação de nove a 11 dígitos que normalmente são incluídos na URL (por exemplo, https://zoom.us/j/93XXX9XXX5). Os pesquisadores da Check Point descobriram também que um hacker poderia gerar previamente uma longa lista de IDs de reuniões no Zoom, usando técnicas de automação para verificar rapidamente se o respectivo ID era válido ou não, se as reuniões usavam senha ou não para, em seguida, conseguirem acessar as reuniões do Zoom que não estivessem protegidas por senha.

Em resumo, era possível a um cibercriminoso espionar uma reunião no Zoom seguindo três etapas:

1. Geração de uma lista de códigos de reunião de Zoom;
2. Validação rápida da existência de cada ID de reunião de Zoom;
3. Conectar-se à reunião.

Divulgação Responsável

A equipe da Check Point entrou em contato com a Zoom e compartilhou essas descobertas de acordo com seu processo padrão de divulgação responsável. A Check Point trabalhou posteriormente com a Zoom para que emitisse uma série de correções e novas funcionalidades para corrigir completamente as falhas de segurança descobertas pela Check Point.

Assim, a Check Point propôs as seguintes mitigações à Zoom:

1. Reimplementar o algoritmo de geração de identificações de reunião;
2. Substituir a função de randomização por uma criptografia forte;
3. Aumentar o número de dígitos \ símbolos nas IDs da reunião;
4. Forçar hosts a usar senhas \ PINs \ SSO para fins de autorização.

Alterações na segurança Zoom

A Zoom introduziu os seguintes recursos e funcionalidades de segurança em sua tecnologia:

1. Senhas padrão: As senhas são adicionadas por padrão a todas as futuras reuniões agendadas.
2. Adições de senhas por usuário: Os usuários podem adicionar uma senha a futuras reuniões já agendadas e, caso queiram, poderão receber instruções por e-mail sobre como realizar esse processo.
3. Utilização de senhas em nível de conta e do grupo: As configurações de senha são aplicáveis no nível da conta e do grupo pelo administrador da conta.
4. Validação do ID da reunião: O serviço Zoom não indicará mais automaticamente se um ID de reunião é válido ou inválido. Para cada tentativa, a página será carregada e tentará ingressar na reunião. Portanto, um cibercriminoso não conseguirá delimitar rapidamente o número de reuniões que tem para tentar ingressar.
5. Bloqueador de dispositivos: Tentativas repetidas de procura por identificações de reunião (IDs) farão com que um dispositivo seja bloqueado por um certo período.

Para mais detalhes sobre essa vulnerabilidade no serviço Zoom, acesse o blog da Check Point:
https://blog.checkpoint.com/2020/01/28/check-point-research-finds-vulnerabilities-in-zoom-video-communications-inc/

Zoom em números

A empresa Zoom é líder em comunicações de vídeo corporativas modernas, fornece uma plataforma na nuvem fácil para videoconferência e áudio, colaboração, bate-papo e seminários on-line em dispositivos móveis, desktops, telefones e sistemas de salas. É utilizado em salas de diretoria, conferência, reunião e treinamento, além de escritórios executivos e salas de aula.

• Mais de 74 mil clientes (The Motley Fool, 8 de janeiro de 2020)
• 60% das empresas listadas na Fortune 500 usam o Zoom (Zoom, 2019)
• Mais de 96% das 200 principais universidades dos EUA usam o Zoom (Zoom, 2019)
• O Zoom aumentou os clientes em 67% no ano passado (The Motley Fool, 8 de janeiro de 2020)
• 80 bilhões de minutos de reunião por ano (Barron, 17 de outubro de 2019)
• 466 clientes pagam à Zoom pelo menos US $ 100.000 por ano (Barron's, 17 de outubro de 2019)
• 27 clientes pagam ao norte de US $ 1 milhão por ano (Barron's, 17 de outubro de 2019)