אחרי המתקפה על טוויטר אמש, חושפת היום (ה') צ'ק פוינט וזום בעיית אבטחה שהייתה עלולה להוביל לפריצה המונית לחשבונות בפלטפורמת שיחות הווידאו הפופולרית בעולם. החברות מדגישות כי תיקנו את החולשה וכי לא ניתן יותר לפגוע במשתמשים באמצעותה.
חולשת האבטחה בזום, שמכונה "חולשת הגאוותנות", אפשרה לתוקפים להתחזות לחברות מובילות המשתמשות בפלטפורמה. חוקרי צ'ק פוינט איתרו מנגנון פגיע במערכת זימון הפגישות, שבאמצעותו האקרים היו יכולים לשנות את הקישורים לפגישות של חברות שונות המשתמשות בזום, המכונים קישורי גאוותנות (Vanity URLs). כך היו יכולים התוקפים לשלוח זימונים לפגישות ושיחות תוך התחזות לאותן חברות. החוקרים מציינים שקישור לגיטימי של זום המשתמש בשם החברה יכול לשמש האקרים לקמפיינים של דיוג (פישינג) במטרה להטעות או להשיג מידע אישי באמצעות הפלטפורמה.
2 צפייה בגלריה
טלפון עם אפליקציית זוםטלפון עם אפליקציית זום
אפליקציית זום. ההאקרים בהיסטריה סביבה
(צילום: Shutterstock)
עדי איקן, ראש מחלקת מחקר ופיתוח הגנות בצ'ק פוינט, שעמד בראש הצוות שפעל עם זום לאיתור ותיקון הבעיה, אומר: "מרגע שזום הפכה לאחד מערוצי התקשורת המובילים של עסקים, ממשלות וצרכנים, החשיבות של מניעת ניצול שלה על ידי גורמים זדוניים הופכת למשמעותית מאי פעם. העבודה המשותפת של הצוותים של זום ושלנו מאפשרת לייצר חווית תקשורת בטוחה יותר ובכך להנות מכל מה שיש לפלטפורמה להציע".
כידוע, השימוש בזום צבר תאוצה משמעותית בתקופת הקורונה, עם עלייה מ-10 מיליון משתמשים לפני כן ליותר מ-300 מיליון משתמשים כיום. התפוצה הזו הפכה את הפלטפורמה לאטרקטיבית להאקרים, שקיוו לנצל אותה כדי לאתר קהלים גדולים של קורבנות אפשריים. בצ'ק פוינט אומרים כי החברה הפכה לאחד מנושאי העיסוק המרכזיים באתרים זדוניים, כשההאקרים מחליפים רעיונות ושיטות כיצד לפתות משתמשים תמימים וכיצד לייצר קבצי התקנה שמתחזים לתוכנת זום.
2 צפייה בגלריה
פריצה לזום צ'ק פוינטפריצה לזום צ'ק פוינט
הקישור מוביל למסך כניסה תמים למראה
(צילום מסך)
בינואר השנה איתרו חוקרי צ'ק פוינט חולשה בזום, שאפשרה לגורמים שונים להצטרף לפגישות שלא הוזמנו אליהן. בהמשך עבדו צוותים משותפים של החברות לאתר פרצות וחולשות בפלטפורמה, ואיתרו את בעיית האבטחה שבדיווח זה.
המנגנון הפגיע שאותר עתה, מאפשר להאקרים להשתמש באפשרות שקיימת בזום כדי לייצר קישורים עם זיהוי ארגוני, כולל שם החברה והלוגו שלה. בעת הלחיצה על הקישור אין דרך למשתמש לדעת שהקישור אינו אמיתי. לא רק זאת, אלא שמתברר כי בעיית האבטחה מאפשרת להאקרים להיכנס לאתרים הרשמיים שחברות הקימו בפלטפורמת זום ולזמן פגישות מאתרים אלו. גם כאן, הקורבן לא יכול היה לדעת שמדובר בזיוף.
זום תיקנה את בעיית האבטחה באמצעות יצירת הגנות נוספות על מערכת זימון הפגישות של חברות, ובצ'ק פוינט אומרים כי משתמשי הפלטפורמה אינם צריכים לחשוש ממנה. מזום נמסר: "זום מעודדת את משתמשיה לבחון לעומק את פרטיה של כל פגישה בה הם מתכננים להשתתף לפני ההצטרפות, ולהצטרף רק לפגישות ממשתמשים שהם מכירים וסומכים עליהם. אנו בזום מעריכים את תשומת הלב של צ'ק פוינט שדיווחה לנו על הנושא".