9 августа 2020 года специалист по кибербезопасности Мазин Ахмед опубликовал своё исследование уязвимостей Zoom, которое он представил на конференции DEF CON 28. Часть обнаруженных проблем затронула клиент сервиса для Linux, а также процессы аутентификации пользователей и преобразования изображений. По словам автора исследования, новые уязвимости в Zoom уже известны разработчикам продукта и исправлены ими.
В своём посте Мазин Ахмед сообщает, что изучал безопасность сервиса с апреля 2020 года. Специалист сразу же попытался связаться с представителями Zoom, однако долгое время не получал ответа. Лишь после анонса о презентации его исследования в рамках конференции DEF CON 28 появилась обратная связь.
Часть выявленных проблем касается клиента сервиса видеосвязи для операционной системы Linux. К примеру, из-за особенностей работы сертификатов по протоколам TLS/SSL вредоносное ПО позволяет автоматически сохранять в локальную базу любые сертификаты серверов без их проверки. Также вредоносное ПО может быть запущено как обычный процесс в Zoom, а система безопасности сервиса даже не распознает его как угрозу. Наконец, переписка с помощью недавно добавленного в сервис end-to-end шифрования, как и пользовательские данные, хранится в базе виде обычного текста, что позволяет легко получить к ним доступ.
По словам исследователя, этим новые уязвимости в Zoom не ограничиваются. Некоторые проблемы с работой службы аутентификации Kerberos, во время атаки на которую была возможность перебирать номер пользователя и варианты его пароля неограниченное количество раз. Кроме того, Мазин Ахмед обратил внимание на обработку изображений, загружаемых в Zoom. Он считает, что сервис использует с этой целью на стороне сервера продукт ImageMagick, известный своими уязвимостями. С его помощью возможна кража памяти системы.
Напомним, ранее в блоге Cisco Talos публиковали информацию о двух других уязвимостях сервиса видеосвязи. Подробнее читайте в нашей рецензии на Zoom. Вы также можете скачать сервис на нашем сайте.