本文作者 s3c,可以在 Twitter 追蹤 @sec_krd。原文《How i hacked worldwide ZOOM users》刊登於 Medium,INSIDE 經授權刊登,Mia 編譯。
4/10 更新:作者在原文加入尾段並新增獎金數額,本譯文將新增部分以「 *」標註
大家好。
我在測試 zoom.us 的登入系統時發現,如果你選擇用 Facebook 帳號登入,而且你的 Facebook 帳號沒有綁定電子信箱,Zoom 就會要求你輸入一個新的 email 信箱。
我覺得這很適合拿來測試一下,所以首先我在 Zoom 鍵入了一個實際存在的 email 看會發生什麼事。
它傳送了一封啟動碼到這個信箱位址。
所以我打開信箱,並且看到信件內容表示只要認證這個信箱位址,之後就可以用 Facebook 帳號登入。於是我點擊了確認鈕,並被導向這個網址:
https://zoom.us/signin/term_accept/verify_email?code=vAlA5Mtp_jPqfUUPMuWK……
打開連結後就會到這個頁面,只要點擊「現在啟用」Facebook 帳號就會和這個 email 連結。
但是接著我看到連結裡面的參數碼,就嚇到了!
第 4 步驟裡面的參數碼和第二步驟的參數碼一模一樣。
這代表你不用去收信箱裡的啟動碼,攻擊者只要用(第 2 步)網址裡面的這串參數就能啟動任何帳號,並把它連結到 Facebook 帳號上。
https://zoom.us/signin/term_accept/one_more?code=XXX並且把這串參數套用到(第 4 步)的啟動 email 網址裡面。
https://zoom.us/signin/term_accept/verify_email?code=XXX看看以下這段影片攻擊者如何只知道 email 地址就能駭進任何帳號。
之後我想到,有很多公司都用自己的商用 email 去註冊 Zoom 的帳號,比如 [email protected] 之類的。
所以如果攻擊者用 [email protected] 這個 email 建立一個 Zoom 帳號,並利用上述 bug 通過認證,攻擊者就能在 Zoom 的「公司聯絡人」欄位看到所有 *@companyname.com 結尾的 email。這表示攻擊者可以進一步駭進這整間公司所有的 Zoom 帳號。
影響
攻擊者可以:
- 加入任何使用者的會議。
- 讀取任何使用者的聊天、影片、照片、文字內容。
- 讀取任何公司的所有 email 地址。
還有更多⋯⋯
更新
2020/3/30 找到這個 bug 並回報給 Zoom。
2020/4/1 bug 修好了,並且發給我* 3 千美元獎金和獎品。
*聲明
我只有用我的帳號測試,所有使用者都是安全的。如果你覺得 Zoom 不夠安全,那你就錯了。如果沒有白帽駭客的幫忙,沒有網站是 100% 安全的,而有很多白帽駭客試著幫忙改進 Zoom 的資安。
核稿編輯:李柏鋒
延伸閱讀:
- 駭客、工程師鍵盤救國!揭開實名系統 72 小時上線幕後
- Pwn2Own 競賽讓駭客趨之若鶩的秘密?專訪 ZDI 計畫負責人和趨勢科技安全研究副總
- Pwn2Own 直擊:駭進 Tesla 給你開回家「真槍實彈」的頂尖駭客競賽
