作者:Khanh Nguyen Yen,Software 二級工程師,OPSWAT
背景
有許多組織和個人創建自己的加密方案。雖然使用客製化方案具有安全優勢,但當使用該方案的軟體具有大量使用者時,缺點會被放大。Zoom 是一家使用自己專有加密方案的公司,並發現了與該加密相關的嚴重安全漏洞。由於此漏洞,超過 500,000 名 Zoom Meeting 使用者的資訊被洩露。
由於 COVID-19 大流行,政府一直在執行就地避難令,這導致員工在家工作。為了有效地工作,他們必須保持安全的連接和溝通。Zoom 是全球許多人用來幫助他們做到這一點的工具。事實上,許多公司將其用作主要通訊媒介,使這個漏洞成為一個嚴重的問題。
為什麼會這樣?
在 4 月份的一篇 Zoom 文章文章中,Zoom 解釋說,他們目前沒有實現實際的端到端加密,儘管他們已經稱他們的加密為端到端加密。他們使用該術語來描述設備和 Zoom 伺服器之間的一種傳輸加密。因此,從理論上講,一旦 Zoom Meeting 資訊位於伺服器上,Zoom 就能夠解密和監控該資訊。
漏洞在哪裡?
Zoom 會議的影片和音訊資料透過 Zoom 伺服器(Zoom 的雲)分發給所有參與者。當客戶選擇在本地託管時,Zoom 會生成並存取用於加密會議的 AES 金鑰。會議主持人可以將其會議設置為具有虛擬等候室,這將拒絕出席者直接存取 Zoom 會議。相反,出席者必須等待會議主持人允許進入。(根據 公民實驗室研究人員的說法)。但是,等候室中的每個人都可以存取會議的解密金鑰。因此,惡意參與者不必實際加入會議即可存取會議的影片和音訊流。
報告了 Zoom 加密的另一個關鍵安全問題。根據之前發佈的 檔,Zoom 應用程式使用 AES-256 演演算法來加密會議內容。但是,Zoom 應用程式實際上使用單個 128 位加密金鑰。
最後,Zoom 在 ECB 模式下使用 AES 對會議期間的所有音訊和影片進行加密和解密。不建議使用 ECB 加密,因為它在語義上不安全,這意味著僅觀察 ECB 加密 的密文可能會洩露有關明文的資訊。ECB 模式用於同一塊(8 或 16 位元組)的明文加密,該塊始終生成相同的密文塊。這可允許攻擊者檢測到 ECB 加密的消息是否相同或包含重複資料、共用公共前綴、其他常見子字串。
有關更多詳細資訊,維琪百科上有一個很好的圖形演示了這個弱點
此加密漏洞被報告為 CVE-2020-11500。
有關此漏洞的更多資訊,請存取 https://metadefender.opswat.com/漏洞/CVE-2020-11500
潛在影響
攻擊者將更容易解密會議內容並侵犯用戶隱私。
如何 OPSWAT 檢測 Zoom 漏洞?
OPSWAT 技術可以監視組織中存在此漏洞的所有端點。
MetaDefender Access 可以檢測存在 Zoom 漏洞 CVE-2020-11500 的設備,並提供修復說明。
修復
強烈建議您始終保持 Zoom 為最新狀態。
引用
https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/
https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf
https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation#Electronic_Codebook_(ECB)
https://citizenlab.ca/2020/04/zooms-waiting-room-vulnerability/
