<
>

2020新闻稿

7月17日,2020年

检查点研究与zoom合作修复“虚荣URL”问题

检查点研究,威胁情报手臂 检查点®软件技术有限公司,最近帮助缓解与Zoom可定制的潜在安全问题相关的风险“ 梳妆URL. '功能可以允许黑客发送与特定Zoom用户相关联的合法查询的缩放业务会议邀请,其中包含插入恶意软件和秘密窃取该用户的数据或凭据。以前,检查点研究 曾在1月份的缩放工作 修复不同的潜在漏洞,可能让黑客加入一次会议。 

在全球Covid-19锁定期间, ZOOM USAGE于2019年12月爆炸了1000万日每日会议参与者 超过3亿 2020年4月。网络犯罪分子正在使用这种普及作为缩放和其他视频通信平台用户的网络钓鱼诱饵。 缩放相关的域名注册和假缩放安装程序,特别是已成为主题 重大增加 accourting检查点。 

研究人员在先前的1月合作后发现了新的潜在虚荣URL安全问题。这种潜在的安全问题可以允许黑客尝试操纵虚荣URL(例如, //yourcompany.zoom.us)以两种方式:

  • 通过直接链接定位:THE HACKER可以改变邀请网址,包括他们选择的注册子域名 在建立会议时。换句话说,如果原始链接是 //zoom.us/j/##########,攻击者可以将其更改为 http:// _<organisation’s姓名>.zoom.us / j / ##########。没有特定的网络安全培训如何识别适当的URL,收到此邀请的用户可能无法认识到邀请不是真实的或真实组织的真实或发布。   

  • 定位专用缩放Web接口:某些组织有自己的Zoom Web界面进行会议。黑客可以针对这样的界面,并尝试将用户重定向到恶意虚荣URL中的会议ID,而不是实际或真正的缩放Web界面。 W.仔细仔细的网络安全培训,这种攻击的受害者可能无法识别恶意网址,并陷入攻击攻击aS直接链接攻击。   

黑客可以试图通过缩放作为潜在的受害者组织的员工构成,并将黑客提供用于使用任一方法窃取凭证或敏感信息的向量。 
 
Adi Ikan,网络研究&票据的保护集团经理表示:“因为Zoom已成为世界领先的企业,政府和消费者的沟通渠道之一,这是防止威胁行动者剥削宣传目的的关键。我们与Zoom的安全团队一起工作,我们帮助Zoom为用户提供更安全,更简单,可信赖的通信体验,因此他们可以充分利用服务的好处。“
 
检查点研究和缩放合作,共同解决这些问题。缩放已解决此问题,并为保护用户提供额外的保障措施。

“这是检查点和缩放之间的共同努力。在一起,我们已经采取了重要的步骤来保护用户到处都是,“Adi Ikan说。