Ứng dụng Zoom vừa khắc phục một lỗ hổng bảo mật cho phép tin tặc bẻ khóa mật mã 6 số, vốn được sử dụng để bảo vệ các cuộc họp riêng tư trên nền tảng.
Theo Tom Anthony, Phó chủ tịch mảng sản phẩm tại SearchPilot, các cuộc họp trong Zoom mặc định được bảo vệ bằng mật khẩu gồm 6 chữ số. Tuy nhiên, do không giới hạn số lần nhập sai nên kẻ tấn công có thể liên tục gửi yếu cầu để thử 1 triệu mật khẩu chỉ trong vài phút. Sau đó, hắn sẽ có quyền truy cập vào các cuộc họp riêng tư trong ứng dụng khi chưa được phép.
Điều đáng chú ý là Zoom triển khai yêu cầu mật mã trên tất cả các cuộc họp từ tháng 4 như một biện pháp chống lại các cuộc tấn công Zoom-bombing – ám chỉ hành động phá rối và chiếm quyền điều khiển các cuộc họp Zoom để chia sẻ nội dung tục tĩu và phân biệt chủng tộc.
Anthony đã báo cáo vấn đề bảo mật cho Zoom từ 1/4/2020, cùng một kịch bản chứng minh dựa trên Python. Các chuyên gia bảo mật của nền tảng họp trực tuyến đã vá lỗ hổng một tuần sau đó.
Các cuộc họp trên ứng dụng Zoom được bảo mật bởi mật mã 6 số, đồng nghĩa có tối đa 1 triệu mật khẩu. Nhưng nếu không giới hạn số lần thử sai mật khẩu, kẻ tấn công có thể tận dụng phiên bản web của ứng dụng để liên tục gửi yêu cầu thử lần lượt 1 triệu kết hợp.
“Chỉ cần nâng cấp phân luồng và phân phối trên 4-5 máy chủ là bạn có thể thử toàn bộ mật khẩu chỉ trong vài phút”, Anthony cho biết.
Phương thức tấn công này hiệu quả với những cuộc họp biết trước thời gian. Sau khi bẻ khóa mật khẩu, tin tặc có thể truy cập vào các cuộc gọi video nhóm đang diễn ra.
Nhà nghiên cứu cũng phát hiện ra rằng tin tặc có thể áp dụng quy trình tương tự để xâm nhập vào những cuộc họp đã được lên lịch sẵn, vì có tùy chọn ghi đè mật mã mặc định bằng sự kết hợp chữ và số, chạy theo danh sách 10 triệu mật khẩu hàng đầu để cố đăng nhập vào hệ thống. Ngoài ra, trong quá trình đăng nhập bằng phiên bản web, ứng dụng còn chuyển hướng tạm thời, yêu cầu sự đồng ý của khách hàng với các điều khoản dịch vụ và chính sách bảo mật.
Sau báo cáo của Anthony, ngày 2/4, Zoom đã tạm dừng hoạt động phiên bản web để khắc phục các sự cố trước khi phát hành bản sửa lỗi một tuần sau đó.
Đại dịch COVID-19 bùng phát trên toàn cầu khiến nhu cầu hội họp trực tuyến tăng cao. Nền tảng họp trực tuyến Zoom cũng phát triển với tốc độ chóng mặt và nhanh chóng trở thành mục tiêu của nhiều nhóm tội phạm mạng. Sau một loạt rắc rối về quyền riêng tư, hồi tháng Tư, Zoom quyết định dành 90 ngày không phát triển tính năng mới mà tập trung khắc phục và ổn định hệ thống bảo mật. Kế hoạch này đã hết hạn vào đầu tháng.
Ba tuần trước, công ty phải khắc phục lỗ hổng zero-day khiến người dùng Windows 7 có nguy cơ bị tấn công và chiếm quyền thiết bị. Ngoài ra, hãng cũng vừa vá một lỗ hổng có thể cho phép kẻ tấn công sử dụng một số thủ thuật kỹ thuật xã hội để giả danh một tổ chức, doanh nghiệp lừa nhân viên hoặc đối tác kinh doanh tiết lộ dữ liệu cá nhân hoặc những thông tin bí mật khác.