Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Kwetsbaarheid bel-app Zoom maakte meeluisteren willekeurige gesprekken mogelijk

Videoconferencingsoftware Zoom had een kwetsbaarheid waardoor een buitenstaander willekeurige gesprekken kon binnentreden, en kon meekijken en -luisteren. De aanvaller moest Meeting ID's willekeurig genereren en kon zo bij een hit binnentreden.

De ontdekking werd gedaan door securitybedrijf Check Point. Het willekeurig genereren van een Zoom Meeting ID leverde toegang tot vier procent van de lopende vergaderingen, aldus Check Point op zijn blog. Dat garandeerde echter nog niet dat een aanvaller ook kon meeluisteren. Er is de optie om een wachtwoord op een vergadering te zetten en de wachtkamerfunctie maakt het mogelijk om deelnemers handmatig toe te laten of af te wijzen. Maar als deze maatregelen niet waren ingeschakeld, had een aanvaller toegang.

In reactie op de bevindingen heeft Zoom het generatiealgoritme van Meeting ID's ingewikkelder gemaakt, heeft het de ID's verlengd en dwingt het een host nu om een beveiligingslaag te kiezen en te gebruiken. Het onthullen van de bevindingen aan Zoom gebeurde in juli 2019. Of de kwetsbaarheid is misbruikt, is niet duidelijk. Volgens The Verge is de fix in augustus binnengekomen. Ook schrijft de site dat pogingen tot het brute forcen van een Meeting ID nu na verschillende pogingen een time-out oplevert.

In 2019 had Zoom ook een andere kwetsbaarheid in zijn bel-app op macOS. Door een kwetsbaarheid kon een aanvaller op dat platform ook meeluisteren, als hij de Meeting ID had.

Door Mark Hendrikman

Nieuwsposter

28-01-2020 • 15:53

27 Linkedin

Reacties (27)

Wijzig sortering
toch gewoon by design, dat gebruiker niet verder nadenkt is niet direct probleem van functionaliteit
Wel als de suggestie gewekt wordt dat het een privékanaal betreft. Of ik zou zelfs zo ver willen gaan om te zeggen: Als niet expliciet duidelijk is dat het een publiek kanaal betreft.

Gezien er psuedo-random id's gebruikt werden, waarvan lijkt alsof deze niet te raden zijn (wat in 1 op de 25 gevallen dus wél kon) lijkt me dat dat absoluut niet duidelijk was.

[Reactie gewijzigd door mcDavid op 28 januari 2020 17:41]

Ben zakelijk gebruiker van zoom en het zou voor eenieder toch duidelijk moeten zijn dat als je een meeting opzet waarbij je iedereen toelaat zonder welke check dan ook (geen wachtwoord, geen wachtkamerfunctie, niet beperkt tot mensen met een zoom account etc) en je deelnemers een uitnodiging krijgen dat ze met enkel een url e/o via een telefoonnr+session id toegang hebben dat iedereen dat dan kan?
En in ieder geval bij zakelijke (groeps)abos kan de systeembeheerder zelf gekozen defaults instellen.
Wellicht dat zoom nog duidelijker zou kunnen stellen dat als je een open meeting opzet die ook open is, maar moeten ze dan ook waarschuwen dat als je de meeting over de speakers van je laptop afspeelt mensen in de buurt het kunnen horen?
Bovendien zie je dat iemand de meeting bijwoont via client, webclient of foon... als daar dan een deelnemer tussen zit die je niet herkent....
Tenzij er meer achter zit (wat ik niet lees) is het imho een enorm open deur
Helemaal mee eens! Ben ook zakelijk gebruiker en meest volle meetings van zo'n 40 man hebben we zelfs door als iemand zomaar binnenkomt. Plus dat eigenlijk iedereen altijd video gebruikt. Dat is een van de redenen waarom we Zoom gebruiken, omdat video zo goed werkt.
Nouja kwestbaarheid. Als je een vergadering hebt met een meetingID kun je er voor kiezen om met of zonder code binnen te komen. Dan is het toch logisch dat iedereen die het meetingID raadt er in komt? Daarnaast kan iedereen in een vergadering zien wie er allemaal nog meer deelnemen. De host kan eventueel ongewenste gebruikers eruit gooien.
Hetzelfde als inloggen zonder wachtwoord, of een teamviewer ID zonder wachtwoord. Altijd voor zorgen dat je toegang tot iets met minimaal een combinatie van twee unieke waardes beveiligd.
Klopt, al blijft wel dat het enorm simpel blijkt om die willekeurige ID's te achterhalen omdat het enkel cijfers gebruikt:
Results
We were able to predict ~4% of randomly generated Meeting IDs, which is a very high chance of success, comparing to the pure brute force.
Ja omdat je meeting ook per telefoon kan bijwonen (algemeen nationaal zoom telnr draaien gevolgd door meeting id) zijn nummers voor de hand liggend. Al zou je letters in id kunnen gebruiken en dan vervangen door numners als je via telefoon de meeting wil joinen... maar blijft dan toch een nummer
"kwetsbaarheid", maar niet echt.

Meeting ID's zijn juist kort en numeriek omdat mensen ze soms moeten invoeren op hun telefoon.

Standaard geen wachtwoord op een meeting is ook heel normaal. Daarnaast zie je wanneer er mensen in je meeting stappen. Die kan je er overigens ook gewoon weer uitgooien.
Ben benieuwd hoe de ID's er dan nu uitzien. Lijkt me dat ze dan tenminste letters aan de ID's toevoegen, i.p.v. enkel cijfers. Dan kan je dezelfde lengte behouden en het toch een factor 100.000 moeilijker maken om te bruteforcen.

Voorheen 10^9= 1.000.000.000 mogelijkheden.
Inclusief letters: 36^9= 101.559.956.668.416 mogelijkheden.
Letters invoeren is lastig als je via je (mobiele) telefoon deelt neemt aan een gesprek. Het zijn nu meestal 3 blokken van 3 cijfers.
Telefoons in de meeste meetingrooms zien er zo uit.. Das aardig lastig met letters intoetsen ;-)

[Reactie gewijzigd door Jay-v op 28 januari 2020 17:11]

Standaard geen wachtwoord op een meeting is ook heel normaal.
Dat is niet normaal, ik vraag me af wat voor bedrijf jij werkt, hebt want pincode is een common thing.
Vooral wanneer je dagelijks 200 conf calls hebt met externe klanten.
Heel erg afhankelijk van type calls: open marketing meetings waarbij je vooral externen uitnodigt en hoe meer belangstellenden hoe beter: wel heel normaal.
Maar conf calls over de ontwikkeling van een nieuw produkt met enkel specifieke interne deelnemers zet je meer eisen. Dus een standaard antwoord wat normaal is is niet te geven.
Maar over het algemeen zou ik als (zoom)beheerder als default instelling wel een pin vragen aan mensen die ofwel extern zijn (geen zoom login van eigen organisatie) of via telefoon joinen. Maar gaat uiteraard ten koste van gemak.
En afhankelijk van organisatie wel of niet toestaan dat eindgebruikers onbeveiligde meetings kunnen opzetten (door van de defaults af te wijken op individuele meetings).
Zonder fanboy te willen zijn: zoom werkt een stuk beter dan Skype for business: geluidskwaliteit, stabiliteit en resource gebruik (in ieder geval op windows clients)
Edit: typo
Meeting IDs zijn 10 cijfers uniek en tijdgebonden. Een PIN is mogelijk maar niet verplicht.

Mocht je toevallig net in dat uurtje het juiste meeting ID vinden, om vervolgens uit de call verwijderd te worden lijkt me dat niet enorm waardevol.

Overigens zijn de meeste meetings die ik host niet of nauwelijks confidential, anders zou ik uiteraard wel een PIN instellen.
Gebruik Zoom veel op m'n werk, en ik zie dit niet zozeer als een enorme kwetsbaarheid. Zoals hierboven al aangegeven; het is meer 'by design'. Je hebt direct door als er iemand joined die er niet bij zou horen, net zoals een face-to-face (zakelijke) meeting houden in een restaurant of waar dan ook: als er ineens een wildvreemde aanschuift met een bakkie koffie, denk je ook: "ga eens opwieberen". Of in de digitale Zoom wereld: uit de meeting knikkeren door op een knop te drukken.

Tevens: je kan simpelweg een wachtwoord aan de meeting ID koppelen, mocht iemand de moeite nemen een random ID te gebruiken :)

[Reactie gewijzigd door rickertsnaak op 28 januari 2020 16:14]

wanneer je een meeting hebt met +20 personen die je niet kent omdat het externe mensen zijn valt dit al heel wat moeilijker op.
Mensen zijn helemaal niet zo assertief als jij beschrijft en al helemaal niet als het om conference calls gaat.

[Reactie gewijzigd door klakkie.57th op 28 januari 2020 17:54]

Dat is dan hetzelfde als een zaaltje afhuren en iedereen toelaten.
Als je alleen genodigden wil hebben eenvoudig pin inschakelen ipv "geen beveiliging" en zoals eerder gemeld: de lokale zoom beheerder binnen een bedrijf/organisatie kan defaults instellen en zelfs open meetings verbieden. Dat dit blijkbaar teveel gevraagd is om eindgebruikers te laten nadenken, de beheerder van het zoom-account zou wel een beetje moeten nadenken. Bovendien biedt zoom diverse online trainings videos waar eea wordt uitgelegd
Dit geldt denk ik voor alle dergelijke conference call apps, toch?
Interessant, ik heb vorige week Zoom een paar keer moeten gebruiken en moet zeggen dat de geluidskwaliteit erg tegenviel. Zo erg dat je beter gewoon Telegram of FaceTime kon gebruiken omdat je daar geen last hebt van haperingen of gekraak. Vraag mij af of deze wijzigingen (lijkt mij onwaarschijnlijk, maar blijven computers he!) hier op invloed kan zijn?
Klinkt als iemand de auto niet op slot doet en dat iemand dan opmerkt dat de auto niet veilig is omdat je er zo in kan.
Een metaforische deductie van de feiten:
Het willekeurig genereren van een Zoom Meeting ID leverde toegang tot vier procent van de lopende vergaderingen, aldus Check Point op zijn blog. Dat garandeerde echter nog niet dat een aanvaller ook kon meeluisteren. Er is de optie om een wachtwoord op een vergadering te zetten en de wachtkamerfunctie maakt het mogelijk om deelnemers handmatig toe te laten of af te wijzen. Maar als deze maatregelen niet waren ingeschakeld, had een aanvaller toegang.
Het willekeurig genereren is te vergelijken met het op een parkeerplaats alle deuren van geparkeerde auto's te proberen tot je eentje ontdekt die niet op slot is.

De vergadering geen wachtwoord meegeven of wachtkamerfunctie niet gebruiken, is te vergelijken met je auto niet op slot doen.

edit: quote en opmaak

[Reactie gewijzigd door bed76 op 28 januari 2020 16:58]

Een metaforische deductie van de feiten:
De vergadering geen wachtwoord meegeven of wachtkamerfunctie niet gebruiken, is te vergelijken met je auto niet op slot doen.

edit: quote en opmaak
....in je eigen garage ...
Eigen garage zou het pas zijn als het gaat om een private server o.i.d., terwijl het hier om een publieke dienst gaat.
Maar dan moet de fabrikant van mijn auto toch uitleggen dat ik een risico loop als ik mijn auto parkeer en niet op slot doe. Als de fabrikant me niet uitdrukkelijk vertelt dat het riskant is als je op een openbare parkeerplaats je auto niet op slot doet. Ga direct de Telegraaf bellen die dan VW of BMW kan 'shamen' dat hun autos een gigantisch security issue hebben
Ja precies. Mooi neergezet, duurde even voor ik de cynische ondertoon pakte ;)

Op dit item kan niet meer gereageerd worden.


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True