Kwetsbaarheid bel-app Zoom maakte meeluisteren willekeurige gesprekken mogelijk

Videoconferencingsoftware Zoom had een kwetsbaarheid waardoor een buitenstaander willekeurige gesprekken kon binnentreden, en kon meekijken en -luisteren. De aanvaller moest Meeting ID's willekeurig genereren en kon zo bij een hit binnentreden.

De ontdekking werd gedaan door securitybedrijf Check Point. Het willekeurig genereren van een Zoom Meeting ID leverde toegang tot vier procent van de lopende vergaderingen, aldus Check Point op zijn blog. Dat garandeerde echter nog niet dat een aanvaller ook kon meeluisteren. Er is de optie om een wachtwoord op een vergadering te zetten en de wachtkamerfunctie maakt het mogelijk om deelnemers handmatig toe te laten of af te wijzen. Maar als deze maatregelen niet waren ingeschakeld, had een aanvaller toegang.

In reactie op de bevindingen heeft Zoom het generatiealgoritme van Meeting ID's ingewikkelder gemaakt, heeft het de ID's verlengd en dwingt het een host nu om een beveiligingslaag te kiezen en te gebruiken. Het onthullen van de bevindingen aan Zoom gebeurde in juli 2019. Of de kwetsbaarheid is misbruikt, is niet duidelijk. Volgens The Verge is de fix in augustus binnengekomen. Ook schrijft de site dat pogingen tot het brute forcen van een Meeting ID nu na verschillende pogingen een time-out oplevert.

In 2019 had Zoom ook een andere kwetsbaarheid in zijn bel-app op macOS. Door een kwetsbaarheid kon een aanvaller op dat platform ook meeluisteren, als hij de Meeting ID had.

Door Mark Hendrikman

Redacteur

Feedback • 28-01-2020 15:53 27

28-01-2020 • 15:53

27

Lees meer

Zoom past voorwaarden opnieuw aan, traint AI-modellen niet meer op gebruiksdata
Zoom past voorwaarden opnieuw aan, traint AI-modellen niet meer op gebruiksdata Nieuws van 14 augustus 2023
Zoom belooft AI-modellen alleen te trainen met gebruikersdata na opt-in
Zoom belooft AI-modellen alleen te trainen met gebruikersdata na opt-in Nieuws van 9 augustus 2023
Amerikaanse autoriteiten nemen privacy- en veiligheidsbeleid Zoom onder de loep
Amerikaanse autoriteiten nemen privacy- en veiligheidsbeleid Zoom onder de loep Nieuws van 31 maart 2020
Onderzoekers vinden nieuwe 'speculative execution'-kwetsbaarheden in Intel-cpu's
Onderzoekers vinden nieuwe 'speculative execution'-kwetsbaarheden in Intel-cpu's Nieuws van 28 januari 2020
Mitigatie voor zeroday in Internet Explorer maakt Windows-onderdelen stuk
Mitigatie voor zeroday in Internet Explorer maakt Windows-onderdelen stuk Nieuws van 27 januari 2020
Experts: Citrix-kwetsbaarheid wordt actief misbruikt voor ransomware-infecties
Experts: Citrix-kwetsbaarheid wordt actief misbruikt voor ransomware-infecties Nieuws van 24 januari 2020
AMD dicht lekken in Radeon-drivers
AMD dicht lekken in Radeon-drivers Nieuws van 24 januari 2020
Apple pusht update naar macOS om kwetsbaarheid in bel-app Zoom op te lossen
Apple pusht update naar macOS om kwetsbaarheid in bel-app Zoom op te lossen Nieuws van 11 juli 2019
Meer producten en artikelen
Networking en security Zoom

Reacties (27)

-Moderatie-faq
27
26
12
1
0
13
Wijzig sortering
himlims_ 28 januari 2020 16:01
toch gewoon by design, dat gebruiker niet verder nadenkt is niet direct probleem van functionaliteit
mcDavid @himlims_28 januari 2020 17:28
Wel als de suggestie gewekt wordt dat het een privékanaal betreft. Of ik zou zelfs zo ver willen gaan om te zeggen: Als niet expliciet duidelijk is dat het een publiek kanaal betreft.

Gezien er psuedo-random id's gebruikt werden, waarvan lijkt alsof deze niet te raden zijn (wat in 1 op de 25 gevallen dus wél kon) lijkt me dat dat absoluut niet duidelijk was.

[Reactie gewijzigd door mcDavid op 23 juli 2024 18:37]

tonkie_67 @mcDavid28 januari 2020 19:12
Ben zakelijk gebruiker van zoom en het zou voor eenieder toch duidelijk moeten zijn dat als je een meeting opzet waarbij je iedereen toelaat zonder welke check dan ook (geen wachtwoord, geen wachtkamerfunctie, niet beperkt tot mensen met een zoom account etc) en je deelnemers een uitnodiging krijgen dat ze met enkel een url e/o via een telefoonnr+session id toegang hebben dat iedereen dat dan kan?
En in ieder geval bij zakelijke (groeps)abos kan de systeembeheerder zelf gekozen defaults instellen.
Wellicht dat zoom nog duidelijker zou kunnen stellen dat als je een open meeting opzet die ook open is, maar moeten ze dan ook waarschuwen dat als je de meeting over de speakers van je laptop afspeelt mensen in de buurt het kunnen horen?
Bovendien zie je dat iemand de meeting bijwoont via client, webclient of foon... als daar dan een deelnemer tussen zit die je niet herkent....
Tenzij er meer achter zit (wat ik niet lees) is het imho een enorm open deur
Dennis van der Stelt @tonkie_6728 januari 2020 21:54
Helemaal mee eens! Ben ook zakelijk gebruiker en meest volle meetings van zo'n 40 man hebben we zelfs door als iemand zomaar binnenkomt. Plus dat eigenlijk iedereen altijd video gebruikt. Dat is een van de redenen waarom we Zoom gebruiken, omdat video zo goed werkt.
jongetje 28 januari 2020 15:58
Nouja kwestbaarheid. Als je een vergadering hebt met een meetingID kun je er voor kiezen om met of zonder code binnen te komen. Dan is het toch logisch dat iedereen die het meetingID raadt er in komt? Daarnaast kan iedereen in een vergadering zien wie er allemaal nog meer deelnemen. De host kan eventueel ongewenste gebruikers eruit gooien.
SilentLucidity @jongetje28 januari 2020 16:05
Hetzelfde als inloggen zonder wachtwoord, of een teamviewer ID zonder wachtwoord. Altijd voor zorgen dat je toegang tot iets met minimaal een combinatie van twee unieke waardes beveiligd.
stuiterveer @jongetje28 januari 2020 16:23
Klopt, al blijft wel dat het enorm simpel blijkt om die willekeurige ID's te achterhalen omdat het enkel cijfers gebruikt:
Results
We were able to predict ~4% of randomly generated Meeting IDs, which is a very high chance of success, comparing to the pure brute force.
tonkie_67 @stuiterveer28 januari 2020 19:20
Ja omdat je meeting ook per telefoon kan bijwonen (algemeen nationaal zoom telnr draaien gevolgd door meeting id) zijn nummers voor de hand liggend. Al zou je letters in id kunnen gebruiken en dan vervangen door numners als je via telefoon de meeting wil joinen... maar blijft dan toch een nummer
Jay-v 28 januari 2020 16:14
"kwetsbaarheid", maar niet echt.

Meeting ID's zijn juist kort en numeriek omdat mensen ze soms moeten invoeren op hun telefoon.

Standaard geen wachtwoord op een meeting is ook heel normaal. Daarnaast zie je wanneer er mensen in je meeting stappen. Die kan je er overigens ook gewoon weer uitgooien.
Munchie @Jay-v28 januari 2020 16:21
Ben benieuwd hoe de ID's er dan nu uitzien. Lijkt me dat ze dan tenminste letters aan de ID's toevoegen, i.p.v. enkel cijfers. Dan kan je dezelfde lengte behouden en het toch een factor 100.000 moeilijker maken om te bruteforcen.

Voorheen 10^9= 1.000.000.000 mogelijkheden.
Inclusief letters: 36^9= 101.559.956.668.416 mogelijkheden.
jjbstolk @Munchie28 januari 2020 16:30
Letters invoeren is lastig als je via je (mobiele) telefoon deelt neemt aan een gesprek. Het zijn nu meestal 3 blokken van 3 cijfers.
Jay-v @Munchie28 januari 2020 16:45
Telefoons in de meeste meetingrooms zien er zo uit.. Das aardig lastig met letters intoetsen ;-)

[Reactie gewijzigd door Jay-v op 23 juli 2024 18:37]

tdlaccount @Jay-v28 januari 2020 17:38
Standaard geen wachtwoord op een meeting is ook heel normaal.
Dat is niet normaal, ik vraag me af wat voor bedrijf jij werkt, hebt want pincode is een common thing.
Vooral wanneer je dagelijks 200 conf calls hebt met externe klanten.
tonkie_67 @tdlaccount28 januari 2020 19:35
Heel erg afhankelijk van type calls: open marketing meetings waarbij je vooral externen uitnodigt en hoe meer belangstellenden hoe beter: wel heel normaal.
Maar conf calls over de ontwikkeling van een nieuw produkt met enkel specifieke interne deelnemers zet je meer eisen. Dus een standaard antwoord wat normaal is is niet te geven.
Maar over het algemeen zou ik als (zoom)beheerder als default instelling wel een pin vragen aan mensen die ofwel extern zijn (geen zoom login van eigen organisatie) of via telefoon joinen. Maar gaat uiteraard ten koste van gemak.
En afhankelijk van organisatie wel of niet toestaan dat eindgebruikers onbeveiligde meetings kunnen opzetten (door van de defaults af te wijken op individuele meetings).
Zonder fanboy te willen zijn: zoom werkt een stuk beter dan Skype for business: geluidskwaliteit, stabiliteit en resource gebruik (in ieder geval op windows clients)
Edit: typo
Jay-v @tdlaccount28 januari 2020 20:51
Meeting IDs zijn 10 cijfers uniek en tijdgebonden. Een PIN is mogelijk maar niet verplicht.

Mocht je toevallig net in dat uurtje het juiste meeting ID vinden, om vervolgens uit de call verwijderd te worden lijkt me dat niet enorm waardevol.

Overigens zijn de meeste meetings die ik host niet of nauwelijks confidential, anders zou ik uiteraard wel een PIN instellen.
rickertsnaak 28 januari 2020 16:11
Gebruik Zoom veel op m'n werk, en ik zie dit niet zozeer als een enorme kwetsbaarheid. Zoals hierboven al aangegeven; het is meer 'by design'. Je hebt direct door als er iemand joined die er niet bij zou horen, net zoals een face-to-face (zakelijke) meeting houden in een restaurant of waar dan ook: als er ineens een wildvreemde aanschuift met een bakkie koffie, denk je ook: "ga eens opwieberen". Of in de digitale Zoom wereld: uit de meeting knikkeren door op een knop te drukken.

Tevens: je kan simpelweg een wachtwoord aan de meeting ID koppelen, mocht iemand de moeite nemen een random ID te gebruiken :)

[Reactie gewijzigd door rickertsnaak op 23 juli 2024 18:37]

klakkie.57th @rickertsnaak28 januari 2020 17:53
wanneer je een meeting hebt met +20 personen die je niet kent omdat het externe mensen zijn valt dit al heel wat moeilijker op.
Mensen zijn helemaal niet zo assertief als jij beschrijft en al helemaal niet als het om conference calls gaat.

[Reactie gewijzigd door klakkie.57th op 23 juli 2024 18:37]

tonkie_67 @klakkie.57th28 januari 2020 19:40
Dat is dan hetzelfde als een zaaltje afhuren en iedereen toelaten.
Als je alleen genodigden wil hebben eenvoudig pin inschakelen ipv "geen beveiliging" en zoals eerder gemeld: de lokale zoom beheerder binnen een bedrijf/organisatie kan defaults instellen en zelfs open meetings verbieden. Dat dit blijkbaar teveel gevraagd is om eindgebruikers te laten nadenken, de beheerder van het zoom-account zou wel een beetje moeten nadenken. Bovendien biedt zoom diverse online trainings videos waar eea wordt uitgelegd
XBWillem 28 januari 2020 18:04
Dit geldt denk ik voor alle dergelijke conference call apps, toch?
alienfruit 29 januari 2020 02:47
Interessant, ik heb vorige week Zoom een paar keer moeten gebruiken en moet zeggen dat de geluidskwaliteit erg tegenviel. Zo erg dat je beter gewoon Telegram of FaceTime kon gebruiken omdat je daar geen last hebt van haperingen of gekraak. Vraag mij af of deze wijzigingen (lijkt mij onwaarschijnlijk, maar blijven computers he!) hier op invloed kan zijn?
MoonRaven 28 januari 2020 16:33
Klinkt als iemand de auto niet op slot doet en dat iemand dan opmerkt dat de auto niet veilig is omdat je er zo in kan.
bed76 @OxWax28 januari 2020 16:57
Een metaforische deductie van de feiten:
Het willekeurig genereren van een Zoom Meeting ID leverde toegang tot vier procent van de lopende vergaderingen, aldus Check Point op zijn blog. Dat garandeerde echter nog niet dat een aanvaller ook kon meeluisteren. Er is de optie om een wachtwoord op een vergadering te zetten en de wachtkamerfunctie maakt het mogelijk om deelnemers handmatig toe te laten of af te wijzen. Maar als deze maatregelen niet waren ingeschakeld, had een aanvaller toegang.
Het willekeurig genereren is te vergelijken met het op een parkeerplaats alle deuren van geparkeerde auto's te proberen tot je eentje ontdekt die niet op slot is.

De vergadering geen wachtwoord meegeven of wachtkamerfunctie niet gebruiken, is te vergelijken met je auto niet op slot doen.

edit: quote en opmaak

[Reactie gewijzigd door bed76 op 23 juli 2024 18:37]

OxWax @bed7628 januari 2020 17:26
Een metaforische deductie van de feiten:
De vergadering geen wachtwoord meegeven of wachtkamerfunctie niet gebruiken, is te vergelijken met je auto niet op slot doen.

edit: quote en opmaak
....in je eigen garage ...
Sorcerer8472 @OxWax28 januari 2020 17:50
Eigen garage zou het pas zijn als het gaat om een private server o.i.d., terwijl het hier om een publieke dienst gaat.
tonkie_67 @bed7628 januari 2020 22:07
Maar dan moet de fabrikant van mijn auto toch uitleggen dat ik een risico loop als ik mijn auto parkeer en niet op slot doe. Als de fabrikant me niet uitdrukkelijk vertelt dat het riskant is als je op een openbare parkeerplaats je auto niet op slot doet. Ga direct de Telegraaf bellen die dan VW of BMW kan 'shamen' dat hun autos een gigantisch security issue hebben
bed76 @tonkie_6729 januari 2020 08:43
Ja precies. Mooi neergezet, duurde even voor ik de cynische ondertoon pakte ;)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq