ព័ត៌មាន

កំហុសនៅលើ Zoom Bug អនុញ្ញាតអោយមនុស្សដែលគ្មានការអញ្ជើញចូលរួមនៅក្នុងការប្រជុំជាលក្ខណៈឯកជនរបស់អ្នក

ប្រសិនបើអ្នកចង់រក្សាទុកទិន្នន័យកិច្ចប្រជុំតាមអ៊ីនធឺណិត អ្នកត្រូវអានផ្នែកនេះដោយយកចិត្តទុកដាក់ ។ កម្មវិធីសន្និសិទវីដេអូ ដែលមានប្រជាប្រិយភាពបាន patched បញ្ហាដែលអាចអនុញ្ញាតឱ្យអ្នកណា ម្នាក់អាចស្តាប់ពីចម្ងាយនូវកិច្ចប្រជុំ ដែលមិនបានការពារ និងអាចបង្ហាញ audio ឯកជន វីដេអូ និង ឯកសារឯកជនដែលបានចែកចាយតាមរយៈ session។ ក្រៅពីសិក្ខាសាលា និងកិច្ចប្រជុំ ដែលរក្សាទុក ការពារដោយពាក្យសម្ងាត់ហើយ Zoom ក៏អនុញ្ញាតឱ្យអ្នកប្រើប្រាស់រៀបចំ session សម្រាប់អ្នកចូល រួម ដែលមិនបានចុះឈ្មោះជាមុន ដែលអាចចូលរួមការប្រជុំដោយបញ្ចូលលេខសម្គាល់អង្គប្រជុំដោយ មិនចាំបាច់ប្រើលេខសម្ងាត់ ឬឆ្លងកាត់ Waiting Rooms។

image

Zoom បង្រួមបង្កើតលេខសម្គាល់ការប្រជុំដោយចៃដន្យនេះមានលេខ ៩ ១០ និង ១១ ខ្ទង់សម្រាប់ កាវិភាគ ឬការបង្កើតកិច្ចប្រជុំនីមួយៗ។ ប្រសិនបើលេចធ្លាយព័ត៌មានបុគ្គល ឬក្រុមដែលមានគោល បំណងគ្រាន់តែដឹងអំពីលេខសម្គាល់នៃការប្រជុំ ហើយអាចចូលរួមប្រជុំទោះបីមិនបានស្វាគមន៍ក្នុង ការប្រជុំ ឬសិក្ខាសាលានោះ។ នេះអាចជាដំណឹងអាក្រក់សម្រាប់អ្នក ដែលរំពឹងថាការសន្ទនារបស់ ពួកគេមានលក្ខណៈឯកជន។

ដើម្បីចៀសវាងសេណារីយ៉ូបែបនេះ Zoom កាលពីឆ្នាំមុនបានណែនាំការគ្រប់គ្រងបន្ថែមមួយចំនួន ក្រោមការកំណត់ពាក្យសម្ងាត់សម្រាប់ការប្រជុំ និងសិក្ខាសាលាតាមអនឡាញដែលយោងទៅតាម Check Point គឺជាលទ្ធផលនៃការស្រាវជ្រាវអំពីចន្លោះប្រហោងសុវត្ថិភាពដែលក្រុមហ៊ុនសន្តិសុខបាន រាយការណ៍ទៅក្រុមហ៊ុនដោយមានទំនួលខុសត្រូវនៅខែកក្កដា ឆ្នាំ ២០១៩ ។ នៅក្នុងរបាយការណ៍ ដែល បានចែករំលែកជាមួយ The Hacker News មុនពេលចេញផ្សាយក្រុមអ្នកស្រាវជ្រាវ Check Point បានបង្ហាញពីការវាយប្រហារ ដែលមានប្រសិទ្ធិភាព ប៉ុន្តែមិនមានការធ្វើកោសល្យវិច័យដើម្បី កំណត់អត្តសញ្ញាណលេខសម្គាល់ការប្រជុំចៃដន្យ ជាជាងប្រើបច្ចេកទេស brute force technique។

image

អ្នកស្រាវជ្រាវបានអះអាងថា “ពួកហេគឃរ័ អាចបង្កើតបញ្ជីឈ្មោះ pre generate កិច្ចប្រជុំ Zoom Meeting IDs ដោយប្រើបច្ចេកទេសស្វ័យប្រវត្តិកម្មដើម្បីផ្ទៀងផ្ទាត់ឱ្យបានរហ័ស ប្រសិនបើលេខ សម្គាល់ការប្រជុំ Zoom នីមួយៗមានសុពលភាព រឺអត់ ហើយបន្ទាប់មកអាចចូលទៅក្នុងការប្រជុំ Zoom ដែលមិនបានការពារដោយលេខសម្ងាត់”។ “យើងអាចព្យាករណ៍បានថាប្រហែលជា ៤% នៃលេខអត្ត សញ្ញាណ Meeting ID ដែលបានបង្កើតដោយចៃដន្យ មានឱកាសលួចចូលជោគជ័យខ្ពស់បើប្រៀប ធៀបទៅនឹង pure brute force”។ ជាលទ្ធផលនៃការបង្ហាញរបស់ក្រុមហ៊ុន Check Point, Zoom បាន ណែនាំអំពីលក្ខណៈ និងមុខងារសុវត្ថិភាពដូចខាងក្រោមទៅក្នុងសេវាកម្មសន្និសីទវីដេអូតាម cloud based ថា៖

– Default Passwords⁠៖ Zoom ឥឡូវ by default បង្កើតលេខសម្ងាត់ ៦ ខ្ទង់ដោយស្វ័យប្រវត្តិសំរាប់ រាល់ការប្រជុំ ដែលអ្នកបង្កើតជាអ្នកចូលរួម ត្រូវបញ្ចូល meeting ID ពេលចូលរួមដោយដៃ។

– Account and Group Level Password Enforcement- ស្ថិតនៅក្រោមការគ្រប់គ្រងថ្មី ការកំណត់ពាក្យ សម្ងាត់ថ្មីចំនួន ៣ ត្រូវបានអនុវត្តនៅគណនី ក្រុម និងកំរិតអ្នកប្រើប្រាស់ដោយ account admin។

– Meeting ID Validation – Zoom មិនបង្ហាញដោយស្វ័យប្រវត្តិ ប្រសិនបើលេខសម្គាល់អង្គប្រជុំ meeting ID មានសុពលភាព ឬមិនត្រឹមត្រូវ ដែលធ្វើឱ្យស្គ្រីបស្វ័យប្រវត្តិពិបាកកំណត់ការប្រជុំ ដែល សកម្ម។ សម្រាប់ការតភ្ជាប់នីមួយៗ ទំព័រនឹងផ្ទុក ហើយព្យាយាមចូលរួមការប្រជុំ។ ដូច្នេះ ហេគឃរ័ នឹង មិនអាចបង្រួបបង្រួមក្រុមប្រជុំ ដើម្បីព្យាយាមចូលរួមបានទេ។

– Device blocker – ដើម្បីការពារ brute force attack ការព្យាយាមម្តងហើយម្តងទៀតដើម្បីស្កេនលេខ សម្គាល់ការប្រជុំ meeting ID នឹងបណ្តាលឱ្យឧបករណ៍ត្រូវបានរារាំងក្នុងរយៈពេលណាមួយ។

“ភាពឯកជន និងសុវត្ថិភាពរបស់អ្នកប្រើប្រាស់ Zoom គឺជាអាទិភាពចំបងរបស់យើង។ បញ្ហាត្រូវបាន បង្ហាញនៅក្នុងខែសីហា ឆ្នាំ២០១៩ ហើយយើងបានបន្តបន្ថែមលក្ខណៈ និងមុខងារបន្ថែម ដើម្បីពង្រឹង វេទិការបស់យើងបន្ថែមទៀត។ យើងសូមអរគុណដល់ក្រុម Check Point ដែលបានចែករំលែកការ ស្រាវជ្រាវ និងសហការជាមួយយើង” បើយោងតាមអ្នកនាំពាក្យរបស់ Zoom បានប្រាប់សារព័ត៌មាន The Hacker News។ នៅក្នុងខែកក្កដាឆ្នាំមុន Zoom បានបង្កើតចំណងជើងបន្ទាប់ពីភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពយ៉ាង ធ្ងន់ធ្ងរនៅក្នុងកម្មវិធី client app សម្រាប់ macOS ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយ ឬ គេហទំព័រដែលមានគំនិតអាក្រក់បើកកាមេរ៉ារបស់អ្នកប្រើដោយគ្មានការអនុញ្ញាត ឬមិនដឹងខ្លួន។