Internet | Komunikace | Soukromí

Američtí vtipálci si oblíbili zoombombing. Napojí se na podnikovou konferenci a ukážou zadek, nebo i něco horšího

Popularita videokonferencí skrze službu Zoom roste v posledních týdnech nebývalým tempem, což přilákalo i záškodníky a bezpečnostní analytiky. Jedni se snaží útočit pomocí phishingu a zakládají falešné weby vydávající se za novou hvězdu internetu, ostatní se vrhli na tzv. zoombombing.

Představte si, že právě přes Zoom s kolegy ze svého pracovního týmu řešíte nějaký ožehavý problém, když tu se náhle v seznamu objeví nový člen a na vašem 40“ monitoru obří zadek ve vysokém rozlišení. A to v lepším případě.

Vtipálkové se jednoduše připojují do cizích videochatů, načež spustí záznam obrazovky, na které přehrávají tu nejhrubší pornografii, kterou si dokážete představit, případně reklamy a jiný pochybný obsah.

zWarDial vyhledává chaty na Zoomu

Jak se jim to podaří? Jako u mnoha dalších telekonferenčních služeb vám Zoom při zakládání chatu vygeneruje webový odkaz, který můžete poslat všem, kteří se mají připojit. URL obsahuje numerický identifikátor, ten však lze hrubou silou odhalit.

Klepněte pro větší obrázek
zWarDial indexuje chaty na Zoomu

Stručně řečeno, vtipálek, který vám hodlá vysílat na monitor nějaký ten zadek, zkouší různé číselné kombinace, dokud se netrefí.  Zoom na to sice myslel a dušuje se, že má proti těmto brute-force atakům obranu a podobnému záškodníkovi při masivním opakování zablokuje IP adresu, ale to ani zdaleka nestačí.

Vyzkoušel si to třeba bezpečnostní expert Trent Lo z kansaské SecKC, který naprogramoval experimentální zWarDial. Prográmek se zkouší najít existující konferenční místnost na Zoomu a získat o ní maximum informací.

Klepněte pro větší obrázek
Rozložení videochatů na Zoomu, které analyzoval zWarDial, podle odvětví

Dokáže to rychlostí 100 nalezených chatů za hodinu a kontrolu IP adresy vyřešil velmi jednoduše – k běžnému internetu se připojuje skrze Tor, takže se mu navenek průběžně mění skutečná IP adresa.

Mnoho chatů není chráněno heslem

Konference realizované přes Zoom lze sice chránit heslem a firma to už ve výchozím stavu také vyžaduje, takže zWarDial by v ideálním světě neměl najít ani jednu místnost, správci jednotlivých chatů nicméně často hesla zablokují, aby se mohli kolegové připojit co nejsnáze.

Klepněte pro větší obrázek
Zoom už dnes ve výchozím stavu vyžaduje heslo, ale můžete jej vypnout

Spoléhají na to, že adresu konference se složitým numerickým kódem znají jen vyvolení. Jak ale ukazují praktiky zoombombingu, zdaleka to nestačí.

Diskuze (15) Další článek: D-Wave nabídl vědcům pro boj proti koronaviru pokročilé kvantové počítače

Témata článku: Bezpečnost, Internet, Web, Chat, Heslo, Instant Messaging, Komunikace, Soukromí, Zoom, Tor, CMP, Exposé, Vyvolení, Výchozí stav, Videochat, Vtipálek, Monitor, Zadek, Adresa, Blur



Herní filosofie: jak se hrálo před čtvrt stoletím aneb počínající krize průmyslu

Herní filosofie: jak se hrálo před čtvrt stoletím aneb počínající krize průmyslu

Máte rádi nostalgické vzpomínání? My ano a dost věcí jsme si díky tomu uvědomili.

Ladislav Novák
Retro
25 nejlepších filmových parodií, které můžete vidět. Víme, kde je najdete online

25 nejlepších filmových parodií, které můžete vidět. Víme, kde je najdete online

Filmové parodie jsou divácky velmi vděčné a mezi filmaři oblíbené. Tvůrci v nich mohou totiž zcela beztrestně vykrádat cizí díla a v jejich nápodobě popustit uzdu své fantazii. Vybrali jsme nejlepší zahraniční i české parodie.

Jaromír PukMarek Čech
Filmy, které musíte vidět