Zoom da özel toplantılarını korumak için kullanılan 6 basamaklı nümerik şifreye saldırganlar tarafından erişilmesine olanak sağlayan yeni bir güvenlik açığı tespit edildi. Güvenlik açığı Tom Anthony tarafından SearchPilot’ta VP ürünü sayesinde keşfedildi. Güvenlik açığı, CSRF nedeniyle parolaların denetlenmesine izin veren ve hız sınırlaması bulunmayan Zoom web istemcisinde bulunduğu tespit edilmiştir.
Güvenlik açığı, saldırganların doğru şifreyi bulana kadar olası tüm kombinasyonları deneyerek parolaları tahmin etmesine olanak tanımıştır. Bunun yanında saldırganları engelleyen şifre deneme sınırı bulunmamaktadır. Bu durum, bir saldırganın birkaç dakika içinde 1 milyon parolayı denemesini ve başkalarının özel (korumalı) şifrelerine erişmesini kolaylaştırmaktadır.
Dikkat edilmesi gereken önemli nokta, 6 basamaklı nümerik şifreyi daha uzun bir alfanümerik şifreyle değiştirmenin bir yolu olmamasıdır.
Güvenlik açığı mutlaka vardır, önemli olan hasar almadan yamasını çıkarmak. Zoom için henüz zedeleyeci bir zaafiyet yaşanmadı. Bu da kalitesinin st seviyede olduğunu gösteriyor.
Kesinlikle