Um milhão de possibilidades de senhas numéricas podem não ser suficientes para combater hackers motivados. A conclusão foi feita pelo vice-presidente de produtos da SearchPilot, Tom Anthony, que descobriu que a limitação das senhas na ferramenta Zoom permitia que invasores decifrassem os códigos de acesso de reuniões privadas de videoconferência.

Como o password limitava-se a seis dígitos numéricos, as possibilidades chegavam a, no máximo, um milhão. Embora o número de probabilidades pareça alto, Anthony conseguiu demostrar como ele poderia decifrar a senha em apenas 25 minutos. Como não é necessário percorrer toda a lista de um milhão de códigos, com ajuda de uma máquina AWS (sistema da Amazon que dispõe de serviços de machine learning e inteligência artificial), ele conseguiu descobrir o código após a verificação de 91.000 senhas.

“Com a segmentação aprimorada e a distribuição entre quatro ou cinco servidores na nuvem, você pode verificar o espaço inteiro da senha em alguns minutos”, disse Antony. O vice-presidente da SearchPilot teme que a vulnerabilidade possa ter sido explorada há algum tempo, já que o mesmo código de acesso era utilizado em reuniões recorrentes dos clientes.

image-from-rawpixel-id-922361-jpeg.jpg

Restrição de seis dígitos numéricos para senhas de reuniões privadas facilitavam invasões virtuais. Foto: Rawpixel

Após Antony relatar o problema à Zoom, a empresa retirou o sistema do ar no dia 2 de abril para fazer os ajustes. Uma semana depois, a companhia reativou o sistema, apresentando aprimoramentos nas definições das senhas e correções de token CSRF.

A Zoom passou a exigir que usuários efetuem login para ingressas nas reuniões e alterou o padrão das senhas, permitindo que sejam mais longas e composta por outros caracteres.

Problemas com segurança são recorrentes

Desde o início de 2020, a plataforma — que possui 300 milhões de participantes diários — tem apresentado diversas vulnerabilidades em suas operações. Em janeiro, uma brecha na segurança permitia que invasores identificassem e participassem de reuniões desprotegidas por meio de invasões dos IDs.

Em abril, exploits zero-day — códigos que exploram vulnerabilidades desconhecidas — utilizados para violar o client da Zoom em sistemas Windows e macOS estavam sendo vendidos por US$ 500 mil (R$ 2,6 milhões). No episódio, mais de 500 mil contas da plataforma foram colocadas à venda no mercado negro da internet por menos de um centavo e, em alguns casos, distribuídas gratuitamente.

Mais recentemente em julho, a Zoom também corrigiu um bug zero-day que permitia o acesso remoto de invasores no aplicativo em sistemas vulneráveis de Windows 7.

Via: Bleeping Computer