示意圖,Photo by Dmitry Ratushny on unsplash(https://unsplash.com/photos/xsGApcVbojU)

安全廠商Cequence Security及CQ Prime本周揭露視訊會議工具包括Cisco WebEx Meetings、Zoom有列舉攻擊漏洞,可讓攻擊者發現並加入線上商務會議,可能導致敏感資料外洩。

視訊會議或線上文件共享服務會在會議前,派發一組以英文字母或數字組成的會議ID給散居各地的成員,方便他們透過網路連入會議。會議主持人可選擇要不要另外設密碼。研究人員發現視訊會議平台存在他們稱為「第三隻眼」(Prying Eye)的列舉攻擊(enumeration attack)漏洞,攻擊者以bot等自動化工具掃瞄這些平台的API,透過系統API呼叫的回應,列舉出哪些會議ID是有效的,以及是否需要密碼。如果會議未設密碼,攻擊者即可以參加者身份,連進會議聽取簡報或讀取內容。

研究團隊發現這項漏洞影響思科Cisco WebEx Meetings、Zoom,並於7月分別通報兩家公司。思科周三發佈安全公告,但思科不認為這是一項「漏洞」,而是設定問題,但思科仍警告WebEx Meetings用戶需為會議設密碼保護,以免不相干的人進入線上會議。

會議設了密碼,攻擊者雖然得知會議ID,但無法取得會議名稱、時間、主持人名稱,也無法加入會議。思科也指出,即使加入會議,攻擊者也會被發現而遭驅逐。Zoom也在9月中更新Meeting和Webinar兩項產品,預設會議需設密碼。

Zoom 7月間也曾被發現Mac版用戶端軟體內建本地網頁伺服器,可能讓駭客遠端啟動攝影機或發動阻斷服務(DoS)攻擊。蘋果隔天也迅速將這個軟體元件從Zoom Mac 版用戶端移除。


Advertisement

更多 iThome相關內容