Zoom corrige falha de segurança em endereços que permitia instalação de malware

Zoom corrige falha de segurança em endereços que permitia instalação de malware

Por Rubens Eishima | 24 de Julho de 2020 às 08h00
Reuters

O serviço de videoconferências Zoom resolveu um problema de segurança em seu sistema de URLs personalizadas que permitia o uso por criminosos para aplicar golpes ou instalar malware. A falha foi identificada pela empresa Check Point Research, que deu maiores detalhes sobre o seu funcionamento.

O problema estava no recurso de URLs intuitivas, que permite criar endereços personalizados para os links de convites para chamadas — por exemplo, Canaltech.zoom.us. O subdomínio usado (que no caso citado é “canaltech”) poderia ser adulterado para enganar um usuário convidado, que seria induzido a acreditar se tratar de uma sala oficial da empresa no endereço.

Outra falha identificada pela Check Point estava nos portais personalizados pelas empresas para acesso ao Zoom. Ao tentar entrar em uma sala com o botão “Join” (participar), a tela seguinte solicitava um identificador da reunião, sem diferenciar se ela era relacionada à empresa da página anterior.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Portal personalizado do Zoom podia ser usado para golpes (imagem: Check Point Research)

Assim como no outro caso, o recurso permitia que um hacker se passasse por um funcionário da empresa, enganando o usuário — que não tinha como confirmar a autenticidade da sala criada. O truque poderia ser usado para roubar informações confidenciais, dados de logins e senhas e até instruir para a instalação de malware.

A Check Point divulgou agora os detalhes das falhas após notificar o Zoom. Os problemas de segurança foram solucionados pela empresa de videoconferência.

Fonte: Check Point Research

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.