תוקנה פרצת אבטחה ב''זום''

חוקרי צ'ק פוינט איתרו מנגנון פגיע במערכת זימון הפגישות שאפשרה לגורמים חיצוניים להתחזות לחברות שונות המשתמשות בזום.

ערוץ 7 , כ"ד בתמוז תש"פ

אילוסטרציה
אילוסטרציה
צילום: ISTOCK

חוקרי אבטחת המידע של צ'ק פוינט, חברת הגנת הסייבר הגדולה בעולם, שיתפו פעולה עם פלטפורמות השיחות הדיגיטליות זום (zoom) בכדי לשפר את רמת האבטחה של הפלטפורמה.

החוקרים איתרו בעיית אבטחה שאפשרה לזייף לינקים ייעודיים של חברות וארגונים המשתמשים בזום (Vanity URLs), ובכך לייצר זימונים לפגישות ושיחות תוך התחזות לאותן חברות. לינק לגיטימי של זום המשתמש בשם החברה, יכול לשמש האקרים לקמפיינים של דיוג (פישינג) במטרה להטעות או להשיג מידע אישי באמצעות הפלטפורמה.

כידוע, השימוש העולמי בזום צבר תאוצה משמעותית בתקופת הקורונה, עם עלייה מ-10 מליון משתמשים ביום בדצמבר 2019 ליותר מ-300 מליון משתמשים היום. הפופולריות הזו שמה את זום במוקד תשומת הלב של האקרים שרצו לנצל אותה בכדי לאתר ולפגוע בקורבנות שונים, וכן הפכה את החברה לאחד מהנושאים המרכזיים באתרים זדוניים שנועדו לחקות את הפלטפורמה או להתקשר בה.

לאחר שבינואר השנה איתרו חוקרי צ'ק פוינט חולשה בזום שאפשרה לגורמים שונים להצטרף לפגישות שלא הוזמנו אליהן, המשיכו צוותים משותפים של החברות לאתר פרצות וחולשות בפלטפורמה, ואיתרו את בעיית האבטחה שבדיווח זה.

המנגנון הפגיע שאותר מאפשר להאקרים להשתמש באפשרות שקיימת בזום לייצר לינקים עם זיהוי ארגוני . כלומר, במקום שהלינק לשיחה יהיה https://zoom.us/j/##########,, הוא יהפוך ל - https://<organization’s name>.zoom.us/j/##########. חברות וארגונים רבים עושים שימוש ביכולת זו בכדי לייצר את הפגישות והשיחות שלהם בפלטפורמה.

היכולת של כל גורם לייצר זימונים לפגישות עם לינקים מזוהים מאפשר לייצר לינק מזוהה המכיל שם של ארגון/חברה ואפילו להציג את הלוגו של החברה בעת לחיצה על הלינק. לגורם שמקבל את הזימון והלינק אין כל דרך לדעת שהיא אינה אמיתית. במקביל, בעיית האבטחה מאפשרת לגורמים חיצוניים להכנס לאתרים רשמיים שחברות הקימו במסגרת זום.

חברות רבות הקימו לעצמן אתרים ממותגים דרכם הם מנהלים את שיחות הועידה (עמוד נחיתה), ובאמצעות הבעיה האקרים יכלו לזמן פגישות מאתרים אלו. גם כאן, הקורבן לא יכול היה לדעת שמדובר בזיוף.

שימוש בכל אחת מהאופציות הללו היה מאפשר להאקרים להתחזות לאותן חברות או לנציגיהן דרך זום ובכך להטעות או לפגוע בקורבנות. זום תיקנה את בעיית האבטחה באמצעות יצירת הגנות נוספות על מערכת זימון הפגישות של חברות, ומשתמשי הפלטפורמה אינם צריכים לחשוש ממנה בשלב זה.

עדי איקן, ראש מחלקת מחקר ופיתוח הגנות בצ'ק פוינט, שעמד בראש הצוות שפעל עם זום לאיתור ותיקון הבעיה: "מרגע שזום הפכה לאחד מערוצי התקשורת המובילים של עסקים, ממשלות וצרכנים, החשיבות של מניעת ניצול שלה על ידי גורמים זדוניים הופכת למשמעותית מאי פעם. העבודה המשותפת של הצוותים של זום ושלנו מאפשרת לייצר חווית תקשורת בטוחה יותר ובכך להנות מכל מה שיש לפלפורמה להציע".

מחברת זום נמסר בתגובה: "בהמשך לבעיה שדווחה על ידי צ'ק פוינט, על ניצול לרעה של לינקים מקוצרים/ממותגים, זום הוסיפה לפלטפורמה מספר אמצעי הגנה נוספים להגנה על המשתמשים. זום מעודדת את משתמשיה לבחון לעומק את פרטיה של כל פגישה בה הם מתכננים להשתתף - לפני ההצטרפות - ולהצטרף רק לפגישות שהוצעו להם על ידי אנשים שהם מכירים וסומכים עליהם. אנו בזום מעריכים את תשומת הלב של צ'ק פוינט שדיווחה לנו על הנושא".

הצעות והערות ניתן לשלוח לדואר אלקטרוני: computers@inn.co.il