Zoom, de videoconferentieservice die is geëxplodeerd in het vacuüm dat is ontstaan ​​door de uitbraak van COVID-19, heeft de afgelopen dagen de onthulling van een reeks privacy- en beveiligingsfouten doorstaan. Nu hebben onderzoekers precies zo'n fout ontdekt in een functie die specifiek op de markt wordt gebracht als een manier om vergaderingen veiliger te maken.

Zoom zei woensdag dat het een kwetsbaarheid had verholpen met zijn Waiting Room-functie.

Met deze functie kunnen gastheren van vergaderingen potentiële deelnemers in een digitale wachtrij houden in afwachting van goedkeuring. Medische professionals zouden het kunnen gebruiken om meerdere telezorgafspraken achter elkaar te hosten, en personeelsmanagers konden gestapelde video-interviews afnemen, suggereerde het bedrijf in een blogpost van februari.

Aangezien gebruikers problemen hebben ondervonden met "zoombombing", waarbij deelnemers vergaderingen onderbreken en ontsporen, vaak door aanstootgevende beelden of racistische uitlatingen te gebruiken - het bedrijf heeft gewezen op de wachtkamerfunctie als een manier om zich tegen dit soort inbreuken te beschermen.

Maar beveiligingsonderzoekers die de desktopclient op kwetsbaarheden onderzochten, ontdekten dat Zoom-servers automatisch live videogegevens naar gebruikers in de wachtkamer van de vergadering zouden sturen. zelfs als ze nog niet zijn goedgekeurd om deel te nemen door de persoon die de vergadering houdt. Deze gebruikers kregen ook de decoderingssleutel van de vergadering toegestuurd, de code die nodig is om beveiligde communicatie te ontgrendelen. Gebruikers zouden hypothetisch de video-livestream kunnen extraheren, aldus onderzoekers.

"Als je matig technisch geavanceerd was, je kon zien wat er gaande was in de wachtkamer, " zei Bill Marczak, een fellow bij het Citizen Lab en een postdoctoraal onderzoeker bij UC Berkeley die de kwetsbaarheid vonden. Een audiostream van de oproep, echter, niet toegankelijk was.

Marczak zei dat hij en John Scott-Railton van het Citizen Lab vorige week Zoom op de hoogte brachten. Ze hebben hun bevindingen gedetailleerd beschreven in een rapport dat woensdag is gepubliceerd, nadat ze een e-mail van het bedrijf hebben ontvangen waarin staat dat het probleem is opgelost.

Op woensdag, Zoom Chief Executive Eric Yuan zei tijdens een webinar dat werd gehouden om privacyproblemen aan te pakken dat Zoom een ​​probleem had opgelost met de wachtkamerfunctie.

"We hebben onze server geüpdatet. Onze kwetsbaarheid in de wachtkamer is al verholpen, " zei Yuan tijdens het webinar. "Van een serverkant, we hebben geen audio- en videogegevens naar de wachtkamercliënt gestuurd. Echter, we hebben de sessiesleutel verzonden ... . Dat vonden we niet veilig, dus hebben we onze server veranderd."

De opmerking van Yuan kwam niet overeen met wat Marczak en Scott-Railton vonden, Zij schreven. De videostream was voorheen toegankelijk, hoewel het probleem inmiddels is opgelost, zei Marczak.

Zoom reageerde niet direct op een verzoek om commentaar over deze discrepantie.

© 2020 Los Angeles Times
Gedistribueerd door Tribune Content Agency, LLC.