צ'ק פוינט חושפת פירצת אבטחה חמורה ב"זום"

בשעה שהעבודה מהבית נמשכת כחלק מהמאמצים למנוע את התפשטות נגיף הקורונה, חברת אבטחת הגנת הסייבר הישראלית צ'ק פוינט מצאה פירצה חמורה בפלטפורמת שיחות הוידאו "זום". הודות לשיתוף הפעולה, הפירצה נסגרה

  • zoom
הפדיחה הנוראית בשיחת ה-ZOOM: העובדת שחשפה קצת יותר מדי (Facebook/Piers Mummery.)

חוקרי אבטחת המידע של צ'ק פוינט, חברת הגנת הסייבר הגדולה בעולם, איתרו בעיית אבטחה שאפשרה לזייף לינקים ייעודיים של חברות וארגונים המשתמשים בזום (Vanity URLs), ובכך לייצר זימונים לפגישות ושיחות תוך התחזות לאותן חברות. לינק של זום המשתמש בשם החברה, יכול לשמש האקרים לקמפיינים של דיוג (פישינג) במטרה להטעות או להשיג מידע אישי באמצעות הפלטפורמה. בצ'ק פוינט שיתפו פעולה עם הפלטפורמה, וכך הצליחו לסגור את הפירצה המסוכנת.

"מרגע שזום הפכה לאחד מערוצי התקשורת המובילים של עסקים, ממשלות וצרכנים, החשיבות של מניעת ניצול שלה על ידי גורמים זדוניים הופכת למשמעותית מאי פעם. העבודה המשותפת של הצוותים של זום ושלנו מאפשרת לייצר חווית תקשורת בטוחה יותר ובכך להנות מכל מה שיש לפלפורמה להציע", אמר עדי איקן, ראש מחלקת מחקר ופיתוח הגנות בצ'ק פוינט, שעמד בראש הצוות שפעל עם זום לאיתור ותיקון הבעיה.

עוד בוואלה! NEWS

"מענק שתיקה": הרשת מגיבה להצהרת ראש הממשלה בנימין נתניהו

לכתבה המלאה

השימוש העולמי בזום צבר תאוצה משמעותית בתקופת הקורונה, עם עלייה מ-10 מיליון משתמשים ביום בדצמבר 2019 ליותר מ-300 מיליון משתמשים היום. הפופולריות הזו שמה את זום במוקד תשומת הלב של האקרים, שרצו לנצל אותה בכדי לאתר ולפגוע בקורבנות שונים, וכן הפכה את החברה לאחד מהנושאים המרכזיים באתרים זדוניים שנועדו לחקות את הפלטפורמה או להתקשר בה. לאחר שבינואר השנה איתרו חוקרי צ'ק פוינט חולשה בזום, שאפשרה לגורמים שונים להצטרף לפגישות שלא הוזמנו אליהן, המשיכו צוותים משותפים של החברות לאתר פרצות וחולשות בפלטפורמה, ואיתרו את בעיית האבטחה הנוכחית.

הפירצה ב-״זום״ אפשרה התחזות לחברות אחרות (צילום: יח״צ)

המנגנון הפגיע שאותר מאפשר להאקרים להשתמש באפשרות שקיימת בזום לייצר לינקים עם זיהוי ארגוני. כלומר, במקום שהלינק לשיחה יהיה https://zoom.us/j/##########, הוא יהפוך ל - https://.zoom.us/j/##########. חברות וארגונים רבים עושים שימוש ביכולת זו בכדי לייצר את הפגישות והשיחות שלהם בפלטפורמה.

היכולת של כל גורם לייצר זימונים לפגישות עם לינקים מזוהים מאפשר לייצר לינק מזוהה המכיל שם של ארגון או חברה, ואפילו להציג את הלוגו של החברה בעת לחיצה על הלינק. לגורם שמקבל את הזימון והלינק אין כל דרך לדעת שהיא אינה אמיתית. במקביל, בעיית האבטחה מאפשרת לגורמים חיצוניים להכנס לאתרים רשמיים שחברות הקימו במסגרת זום. חברות רבות הקימו לעצמן אתרים ממותגים דרכם הם מנהלים את שיחות הועידה (עמוד נחיתה), ובאמצעות הבעיה האקרים יכלו לזמן פגישות מאתרים אלו. גם כאן, הקורבן לא יכול היה לדעת שמדובר בזיוף.

טרם התפרסמו תגובות

הוסף תגובה חדשה

בשליחת תגובה אני מסכים/ה
    לוגו - פיקוד העורףפיקוד העורף

    התרעות פיקוד העורף

      walla_ssr_page_has_been_loaded_successfully