נתגלתה פרצת אבטחה בזום

צ'ק פוינט (Check Point) חשפה בעיית אבטחה שאפשרה להתחזות לחברות מובילות בזום (Zoom).

חוקרי ענקית האבטחה הישראלית איתרו מנגנון פגיע במערכת זימון הפגישות, שאפשר לגורמים חיצוניים לבצע מניפולציות בלינקים לפגישות' ובכך להתחזות לחברות שונות המשתמשות בזום.

החוקרים איתרו בעיית אבטחה שאפשרה לזייף לינקים ייעודיים של חברות וארגונים המשתמשים

בזום (Vanity URLs)' ובכך לייצר זימונים לפגישות ושיחות תוך התחזות לאותן חברות. לינק לגיטימי של זום המשתמש בשם החברה, יכול לשמש האקרים לקמפיינים של דיוג (פישינג) במטרה להטעות, או להשיג מידע אישי באמצעות הפלטפורמה.

פלטפורמה חיונית מאז הקורונה. זום. צילום: BigStock

כזכור, השימוש העולמי בזום צבר תאוצה משמעותית בתקופת הקורונה, עם עלייה מ-10 מיליון משתמשים ביום בדצמבר 2019 ליותר מ-300 מיליון משתמשים היום. הפופולריות הזו שמה את זום במוקד תשומת הלב של האקרים, שרצו לנצל אותה כדי לאתר ולפגוע בקורבנות שונים, וכן הפכה את החברה לאחד מהנושאים המרכזיים באתרים זדוניים שנועדו לחקות את הפלטפורמה או להתקשר בה.

לאחר שבינואר השנה איתרו חוקרי צ'ק פוינט חולשה בזום, שאפשרה לגורמים שונים להצטרף לפגישות שלא הוזמנו אליהן, המשיכו צוותים משותפים של שתי החברות לאתר פרצות וחולשות בפלטפורמה, ואיתרו את בעיית האבטחה האמורה.

המנגנון הפגיע שאותר, מאפשר להאקרים להשתמש באפשרות שקיימת בזום לייצר לינקים עם זיהוי ארגוני.  כלומר, במקום שהלינק לשיחה יהיה #########https://zoom.us/j/, הוא יהפוך ל-##########https://<organization’s name>.zoom.us/j/.

חברות וארגונים רבים עושים שימוש ביכולת זו בכדי לייצר את הפגישות והשיחות שלהם בפלטפורמה.

היכולת של כל גורם לייצר זימונים לפגישות עם לינקים מזוהים, מאפשרת לייצר לינק מזוהה, המכיל שם של ארגון או חברה, ואפילו להציג את הלוגו של החברה בעת לחיצה על הלינק. לגורם שמקבל את הזימון והלינק אין כל דרך לדעת שהוא אינו אמיתי.

חושפת הבעיה. צ'ק פוינט

במקביל, בעיית האבטחה מאפשרת לגורמים חיצוניים להיכנס לאתרים רשמיים שחברות הקימו במסגרת זום. חברות רבות הקימו לעצמן אתרים ממותגים דרכם הם מנהלים את שיחות הוועידה (עמוד נחיתה), ובאמצעות הבעיה האקרים יכלו לזמן פגישות מאתרים אלו. גם כאן, הקורבן לא יכול היה לדעת שמדובר בזיוף.

שימוש בכל אחת מהאופציות הללו היה מאפשר להאקרים להתחזות לאותן חברות, או לנציגיהן, דרך זום, ובכך להטעות או לפגוע בקורבנות. זום תיקנה את בעיית האבטחה באמצעות יצירת הגנות נוספות על מערכת זימון הפגישות של חברות, ומשתמשי הפלטפורמה אינם צריכים לחשוש ממנה בשלב זה.

עדי איקן, ראש מחלקת מחקר ופיתוח הגנות בצ'ק פוינט, שעמד בראש הצוות שפעל עם זום לאיתור ותיקון הבעיה, אמר כי "מרגע שזום הפכה לאחד מערוצי התקשורת המובילים של עסקים, ממשלות וצרכנים, החשיבות של מניעת ניצול שלה על ידי גורמים זדוניים הופכת למשמעותית מאי פעם. העבודה המשותפת של הצוותים של זום ושלנו מאפשרת לייצר חווית תקשורת בטוחה יותר, ובכך ליהנות מכל מה שיש לפלטפורמה להציע".

מזום נמסר כי "החברה הוסיפה לפלטפורמה מספר אמצעי הגנה נוספים להגנה על המשתמשים. זום מעודדת את משתמשיה לבחון לעומק את פרטיה של כל פגישה בה הם מתכננים להשתתף – לפני ההצטרפות – ולהצטרף רק לפגישות שהוצעו להם על ידי אנשים שהם מכירים וסומכים עליהם. אנו בזום מעריכים את תשומת הלב של צ'ק פוינט שדיווחה לנו על הנושא. אם אתם  חושבים שמצאתם בעיית אבטחה במוצרי זום, שלחו דו"ח מפורט ל[email protected] ונשמח להתייחס.