6-Mavzu: Zoom va Multimedia texnologiyalar tahlili
Download 198.45 Kb.
|
6 amaliy ish
|
Xavfsizlik
Zaifliklar 2018 yil noyabr oyida uzoqdan tasdiqlanmagan tajovuzkorni aldashga imkon beradigan xavfsizlik zaifligi aniqlandi UDP tajovuzkorga ishtirokchilarni uchrashuvlardan olib tashlash, foydalanuvchilarning soxta xabarlari yoki umumiy ekranlarni olib qochishga imkon beradigan xabarlar.[123][124] Kompaniya zaiflik aniqlanganidan ko'p o'tmay tuzatishlarni e'lon qildi.[125] 2019 yil iyul oyida xavfsizlik bo'yicha tadqiqotchi Jonathan Leitschuh a nolinchi kun har qanday veb-saytni majburlashga imkon beruvchi zaiflik macOS foydalanuvchi bilan, bir Zoom qo'ng'iroq ishtirok etish uchun ularning video kamera Foydalanuvchining ruxsatisiz faollashtirilgan.[126] Macos-da Zoom mijozini olib tashlashga urinishlar dasturiy ta'minotni birinchi o'rnatish paytida mashinada o'rnatilgan yashirin veb-server yordamida avtomatik ravishda fonda qayta o'rnatishni talab qiladi, shunda u mijozni olib tashlashga urinishdan keyin ham faol bo'lib qoladi. Jamoatchilik tanqididan so'ng, Zoom to'liq o'chirishga ruxsat berish uchun zaiflik va yashirin veb-serverni olib tashladi.[127] 2020 yil aprel oyida xavfsizlik tadqiqotchilari qaerda zaifliklarni topdilar Oynalar foydalanuvchilar ishonch yorliqlari fosh bo'lishi mumkin.[128][129] Kameralar va mikrofonlarga ishlov berilmagan kirishga imkon beruvchi yana bir zaiflik ommaga oshkor qilindi.[130][131] Zoom 2020 yil aprel oyida tuzatishni e'lon qildi.[132] Motherboard ikki Zoom bor edi, deb xabar zero-kunlar macOS va derazalar uchun mos ravishda 500,000 yil 15 aprelda 2020 dollarga sotiladi.[133] Xavfsizlik xato brokerlari foydalanuvchilarning kompyuterlariga masofadan kirishga imkon beradigan xavfsizlik kamchiliklarini kattalashtirish imkoniyatini sotishgan.[24] Hackerlar ham sotuvga 500,000 Zoom foydalanuvchi nomlari va parollar ustida qo'yish qorong'i veb.[24] Topilgan xavfsizlik va maxfiylik masalalarining ko'pligiga javoban Zoom Luta Security bilan maslahatlashishni o'z ichiga olgan keng qamrovli xavfsizlik rejasini boshladi, bitlar izi, avvalgi Facebook CSO Alex Stamos, avvalgi Google maxfiylik texnologiyasi Lea Kissner global qo'rg'oshin, BishopFox, The NCC guruhi va Jons Xopkins Universiteti kriptograf Metyu D. Yashil.[134] 20 yil 2020 aprelda Yangiqo'rg'on buni xabar qildi Dropbox muhandislar Zoomning xavfsizlik zaifliklarini ikki yil davomida kuzatib borishdi, Zoomni bunday muammolarni tezroq hal qilishga undashdi va Zoomning dasturiy ta'minoti bilan bog'liq muammolarni topish uchun eng yaxshi xakerlarga pul to'lashdi. Xuddi shu maqolada Yangiqo'rg'on xavfsizlik tadqiqotchilari Zoomni javob berish vaqtini yaxshilash va so'nggi xatolarni tezda tuzatish va maxfiylik xavfiga ega bo'lishi mumkin bo'lgan xususiyatlarni olib tashlash uchun maqtashdi.[24][26] 1 yil 2020 aprelda blogdagi postida CEO Yuan platformada maxfiylik va xavfsizlik muammolarini hal qilishga e'tibor qaratish uchun yangi xususiyatlarni chiqarishda 90 kunlik muzlatishni e'lon qildi.[135] 1 yil 2020 iyulda, muzlatish oxirida kompaniya 100 kun davomida 90 ta yangi xavfsizlik xususiyatlarini chiqarganligini aytdi. Ushbu sa'y-harakatlar orasida barcha foydalanuvchilar uchun uchidan uchigacha shifrlash, sukut bo'yicha parollar bilan uchrashishni yoqish, foydalanuvchilarga qaysi ma'lumotlar markazlari qo'ng'iroqlari yo'naltirilishini tanlash imkoniyatini berish, xavfsizlik bo'yicha mutaxassislar bilan maslahatlashish, CISO kengashini tuzish, takomillashtirilgan xato dasturi va xavfsizlikni sinab ko'rishga yordam berish uchun uchinchi shaxslar bilan ishlash. Yuan, shuningdek, Zoom 2020 yilda shaffoflik to'g'risidagi hisobotni baham ko'rishini aytdi.[136][137] 16 yil 2020 noyabrda Zoom sessiya davomida uzilishlarga qarshi kurashish uchun yangi xavfsizlik xususiyatini e'lon qildi. Yangi xususiyat barcha bepul va pullik foydalanuvchilar uchun odatiy bo'lib, Zoom mijozlariga taqdim etildi Mac, Kompyuter va Linuxname, shuningdek Zoom mobil ilovalari.[138] 12 Yil 2022 Avgustda, Simli jurnal xavfsizlik tadqiqotchisi Patrik Vardle tomonidan Zoomga ta'sir ko'rsatadigan uchta alohida xavfsizlik zaifligi haqida xabar berilgan Mac OS ish stoli ilovasi. Zaifliklar allaqachon Mac qurilmasiga kirish huquqiga ega bo'lgan tajovuzkorga ruxsat berdi imtiyoz eskalatsiyasi ilovani avtomatik yangilash xususiyati yordamida zararli kodni o'rnatish orqali hujum qilish va shu bilan ularga jabrlanuvchining qurilmasi ustidan to'liq nazorat qilish.[139] Download 198.45 Kb. Do'stlaringiz bilan baham: 
|