למכירה: באג קריטי בזום בחצי מיליון דולרים

האקרים מציעים למכירה שתי פגיעויות קריטיות שנמצאו בזום. הפגיעויות נמצאות גם במחשבים מבוססי חלונות וגם במערכת ההפעלה של מק ● המחיר? חצי מיליון דולר

יעילות בעבודה היברידית. זום

האקרים מציעים למכירה שתי פגיעויות קריטיות שנמצאו בזום. הפגיעויות נמצאות גם במחשבים מבוססי חלונות וגם במערכת ההפעלה של מק.

הפגיעויות, מסוג יום אפס, כוללות באג קריטי של השתלת קוד מרחוק (RCE) במחשבים מבוססי חלונות, המאפשר לתוקפים להשיג שליטה מלאה על יישומי המחשב המותקף. ההאקרים משווקים את הפגיעות הספציפית הזאת תמורת חצי מיליון דולר.

פגיעות נוספת מיועדת ללקוחות MacOS, והיא פחות מסוכנת, כיוון שאינה מאפשרת השתלטות מרחוק על מחשב הקורבן, ולכן קשה יותר לשימוש בעת מתקפת סייבר, ציינו מומחי אבטחת מידע. חלק מאנשי האבטחה העריכו, כי אורך החיים של הפגיעויות לא יהיה רב, שכן ברגע שנעשה שימוש בנוזקת יום אפס – היא נחשפת.

הפגיעות המיועדת למשתמשי חלונות, ציינו המומחים, "אידיאלית" לשימוש בעת ביצוע מתקפות סייבר לריגול תעשייתי. זאת, כי היא מאפשרת להאקרים לגשת ליישום ספציפי, אם כי יש לשלב אותה עם ניצול של באג אחר – כדי להשיג גישה לכלל המחשב של הקורבן.

אפליקציית שיחות הוועידה בווידאו קיבלה תשומת לב רבה בשבועות האחרונים מצד ההאקרים, בהינתן הצמיחה המטאורית בשימוש בה בשל משבר הקורונה – הן במגזר הפרטי והן בזה העסקי-ציבורי.

בשבועות האחרונים עלו כמה בעיות אבטחת מידע והגנת פרטיות בשל השימוש באפליקציה. כך עלה, כי מדיניות הפרטיות שלה מאפשרת לה לאסוף מידע משתמשים, לרבות תוכני וידיאו ושיחות, לטובת פרסום.

עוד עלה, כי בניגוד להצהרת החברה, הרי שהשיחות בזום לא מוצפנות מקצה לקצה, והחברה מסתייעת באלגוריתם הצפנה בעל חולשות אבטחה מוכרות. כך, מה שמוצפן הוא רק התקשורת עם שרתי החברה. עוד עלה כי נוצר מצב בו לזום יש גישה לתוכן השיחות. בנוסף, חוקרי אבטחה חשפו כי בחלק מהמקרים, מפתחות האבטחה מיוצרים בשרתים שנמצאים בסין, מה שמנגיש אותם לשלטונות.

ליקוי נוסף העלה כי רכיב בזום שמטרתו לעזור לעובדי חברה למצוא איש את עמיתו ולתקשר עימו – מביא את פרטיהם האישיים של המשתמשים.

כך, אפל עמלה לאבטח מיליונים של מחשבים מתוצרתה, אחרי שנחשף כי זום התקינה על המחשבים שרת סודי, אשר נותר עליהם גם אם המשתמשים הסירו את התוכנה – מה שהביא לפוטנציאל חשיפה למתקפות על מחשבים אלה.

בתחילת החודש פרסם ה-FBI התרעה מפני גידול בהיקף הפריצות לפלטפורמות שיתופיות לשיחות וידיאו, שהוא מכנה "הפצצת זום" (Zoom-bombing), על רקע ריבוי השימוש בטכנולוגיות אלו בשל מגיפת הקורונה. הבולשת הפדרלית מסרה, כי קיבלה בשבועות האחרונים דיווחים רבים על שיחות ועידה בווידיאו, ובמקרים מסוימים על כיתות לימוד מקוונות – שהאקרים פרצו אליהן וערכו שיבושים, דחפו תמונות פורנוגרפיות, או הכניסו טקסט או חוזי הכולל דברי שנאה, או שפה מאיימת.

בזום אמרו, כי הם מעודדים משתמשים אשר מארחים פגישות וידיאו מרובות משתתפים לבדוק את הגדרות האבטחה ולדווח על אירועים שכאלה לצוות התמיכה שלה. זאת, על מנת ש"תוכל לנקוט פעולות המתאימות".

אריק יואן, מנכ"ל זום, פרסם פוסט, שדן בדרכים אותן נקטה החברה כדי לטפל בשלל בעיות אבטחת המידע והגנת הפרטיות שהתגלו בחודשיים האחרונים: "אנו מודעים לכך שלא הצלחנו לעמוד בציפיות האבטחה והפרטיות של הקהילה ושל עצמנו. אני מתנצל עמוקות בשל כך".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר.

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים