最近Zoom解决了可用于控制会议ID的安全性问题这个话题,相信很多小伙伴都是非常有兴趣了解的吧,一段好的故事可以给读者带来很多值得深思的新东西,甚至还可以在一定程度上让读者的视野在瞬间扩大,那么既然现在大家都想要知道此类的信息,今日小编将给带来关于Zoom解决了可用于控制会议ID的安全性问题的资讯!
Zoom和Check Point的研究人员共同努力,确定Zoom的可自定义URL功能中的安全问题。如果保持原样,此问题将同意 黑客通过在Zoom上冒充潜在受害者组织的雇员来控制会议ID,从而为黑客提供了窃取凭据和敏感信息的媒介。
Zoom解释说,虚荣URL是公司的自定义URL,例如yourcompany.zoom.us,如果要打开SSO(Sing Sign On),则需要该虚荣URL进行配置。
用户还可以使用自定义徽标/品牌为该虚荣页面添加品牌,通常您的最终用户无法访问该虚荣页面-他们只需单击链接即可在此处加入会议。
可以通过两种方式利用已修复的安全问题Zoom和Check Point。一个,黑客可以通过直接链接进行定位来控制Vanity URL。设置会议时,黑客可能已将URL邀请更改为包括他们选择的注册子域。例如,如果原始链接为https://zoom.us/j/###########,则攻击者可以将其更改为https:// <组织名称> .zoom.us / j / ##########。
如果没有有关如何识别适当URL的特别网络安全培训,则收到此邀请的一般 用户将无法识别该邀请不是真实的,还是不是来自实际组织或真实组织的。
利用此安全问题的第二种方法是针对专用的Zoom接口。一些组织有自己的会议缩放界面。黑客可能会以该界面为目标,并试图重定向用户以将会议ID输入到恶意的Vanity URL中,而不是真正的Zoom界面。同样,与直接链接一样,如果没有适当的培训,大多数人将无法从真实的URL中识别出恶意URL。
黑客首先将自己介绍为公司的合法雇员,然后从组织的Vanity URL向相关用户发送邀请以猎取信誉。最终,当用户使用恶意URL时,黑客可以窃取凭据和敏感信息。