Zoom corrige falha de segurança em endereços que permitia instalação de malware

O serviço de videoconferências Zoom resolveu um problema de segurança em seu sistema de URLs personalizadas que permitia o uso por criminosos para aplicar golpes ou instalar malware. A falha foi identificada pela empresa Check Point Research, que deu maiores detalhes sobre o seu funcionamento.

• Privacidade e proteção de dados: vulnerabilidades no Zoom, Chrome e Flash Player
• Zoom anuncia monitor com câmeras para videoconferências em trabalho remoto
• Zoom interrompe lançamento de funções para focar em segurança 

O problema estava no recurso de URLs intuitivas, que permite criar endereços personalizados para os links de convites para chamadas — por exemplo, Canaltech.zoom.us. O subdomínio usado (que no caso citado é “canaltech”) poderia ser adulterado para enganar um usuário convidado, que seria induzido a acreditar se tratar de uma sala oficial da empresa no endereço.

Outra falha identificada pela Check Point estava nos portais personalizados pelas empresas para acesso ao Zoom. Ao tentar entrar em uma sala com o botão “Join” (participar), a tela seguinte solicitava um identificador da reunião, sem diferenciar se ela era relacionada à empresa da página anterior.

Assim como no outro caso, o recurso permitia que um hacker se passasse por um funcionário da empresa, enganando o usuário — que não tinha como confirmar a autenticidade da sala criada. O truque poderia ser usado para roubar informações confidenciais, dados de logins e senhas e até instruir para a instalação de malware.

A Check Point divulgou agora os detalhes das falhas após notificar o Zoom. Os problemas de segurança foram solucionados pela empresa de videoconferência.

Fonte: Check Point Research