PT. Digital Media Techindo

Perum Pondok Tandala, Jl. Bungur V No. 230
Kawalu, Kota Tasikmalaya
Jawa Barat - Indonesia 46182




Kurangnya tingkat pembatasan upaya password yang berulang memungkinkan penyerang potensial untuk memecahkan kode sandi numerik yang digunakan untuk mengamankan rapat pribadi Zoom, menurut temuan Tom Anthony, VP Product di SearchPilot.

Kerentanan yang dilihatnya dalam aplikasi web Zoom memungkinkan penyerang untuk menebak kata sandi rapat dengan mencoba semua kombinasi sampai menemukan yang benar.

Ini memungkinkan penyerang untuk mencoba semua kombinasi 1 juta kata sandi dalam hitungan menit dan mendapatkan akses ke rapat pribadi Zoom (yang dilindungi kata sandi) orang lain,” katanya. “Ini juga menimbulkan pertanyaan meresahkan apakah ada orang yang sudah menggunakan kerentanan ini untuk mendengarkan panggilan orang lain atau belum.”


Karena penyerang juga sebenarnya tidak harus melalui percobaan seluruh kombinasi dari daftar 1 juta kata sandi yang mungkin, maka hal ini dapat secara drastis mempersingkat waktu yang diperlukan untuk memecahkannya.

Juga, rapat online berulang – termasuk ID Rapat Pribadi (PMI) – akan selalu memiliki kode sandi yang sama sehingga penyerang hanya perlu memecahkannya sekali dan mendapatkan akses permanen ke sesi mendatang.

Anthony menunjukkan bahwa ia dapat memecahkan kata sandi rapat (termasuk pertemuan terjadwal) dalam waktu 25 menit setelah mencoba 91.000 kombinasi kata sandi menggunakan mesin AWS.

Dengan peningkatan threading, dan distribusi di 4-5 server cloud, Anda dapat memeriksa seluruh kombinasi daftar kata sandi dalam beberapa menit,” tambahnya.

Baca Juga: “2 Kerentanan Kritis Aplikasi Zoom Memungkinkan Peretasan Hanya Melalui Chat

Anthony melaporkan masalah ini kepada pihak Zoom pada 1 April 2020, bersama denganĀ proof-of-concept (PoC) untuk menunjukkan bagaimana penyerang bisa melakukanĀ brute-force ke setiap rapat yang dilindungi kata sandi.

Satu minggu setelah pelaporan, Zoom memperbaiki masalah ini dengan “mengharuskan pengguna login untuk bergabung dengan rapat di aplikasi web, dan memperbarui kata sandi rapat default menjadi non-numerik dan lebih panjang.”

Sumber:

administrator

Just a simple person who like photography, videography, code, and cyber security enthusiast.