Zoom-Meeting-Passwörter geknackt
Zoom vergab standardmäßig Passwörter aus 6 Ziffern; und die ließen sich einfach durchprobieren.
Wenn jemand die ID eines Zoom-Meetings kennt, hätte er im Prinzip ganz einfach das zugehörige Passwort knacken und unerlaubt an dem Meeting teilnehmen können. Das deckte Tom Anthony auf, der sich selbst als Hobby-Security-Forscher bezeichnet. Zoom reagierte auf seine Hinweise prompt und sperrte noch am gleichen Tag den verantwortlichen Web-Client; nach einer Woche war der Fehler dann offenbar gefixt.
Das Problem: Zoom setzte für Meetings bis vor kurzem standardmäßig Passwörter, die lediglich aus 6 Ziffern bestanden. Die daraus resultierenden 1 Million Möglichkeiten ließen sich innerhalb weniger Minuten durchprobieren, fand Anthony heraus. Verantwortlich dafür war das Fehlen einer Begrenzung der Zugriffsversuche via HTTP über den Web-Client. So konnte Anthony das Durchprobieren der Zugangscodes automatisieren und über Cloud-Server recht schnell den richtigen finden.
Zoom hat laut Anthony sehr prompt auf seine Hinweise reagiert und offenbar nicht nur ein Rate Limiting gesetzt, beschränkt also die Zahl der unautorisierten Zugriffe. Sondern sie haben auch das Passwort-Schema geändert. So bestehen die Standard-Passwörter für Zoom-Meetings jetzt aus einer Kombination aus Buchstaben und Zahlen, was die Zahl der Möglichkeiten erhöht. Es gibt zwar immer noch ein rein numerisches Passwort für die Einwahl via Telefon; der Web-Zugang ist damit jedoch nicht möglich, wie ein kurzer Test von heise Security bestätigte.
(ju)