遠距辦公資安要顧!資策會呼籲:小心駭客三大手法

比如透過 Zoom 發送惡意的會議連結,點下去就會開始連續收到錯誤號碼的 GET 請求,不僅可啟動攝影機,還會不斷被強制加入無數個無效會議,以達到 DoS 攻擊目的⋯⋯
評論
Shutterstock/達志影像
Shutterstock/達志影像
評論

以下內容取自資策會資安所新聞稿,INSIDE 經編審後刊出。

隨著全球新冠肺炎 (COVID-19) 疫情擴大,許多實體座談會改在線上舉行、學校採取 遠距教學,加上愈來愈多企業宣布推行在家工作方案 (Work From Home),帶動會議視訊軟體如 Zoom、微軟 Teams、訊連 U 會議、思科 Webex 等使用頻率水漲船高,也讓網路會議的資安議題備受矚目。

財團法人資訊工業策進會資安科技研究所 (資策會資安所) 觀察,使用會議視訊軟體若忽視資安問題,將造成會議內容外洩、視訊中斷、電腦無法運作,或個人機密資料流失等嚴重結果。 以當今最火紅的視訊軟體 Zoom 為例,曾有駭客利用 Zoom 的軟體漏洞,進行惡意攻擊,主要有 3 種手法,需要小心防範:

手法一:遠端監控資安攻擊

針對 Zoom 的 Mac 用戶,任何網站內容只要嵌入惡意程式碼,一旦誘使受害者點擊就能未經使用者授權,啟動 Mac 的攝影機,這個型式屬於資訊洩露漏洞,並不需要特別啟動 Zoom 應用程式,就會受到攻擊。

手法二:阻斷服務攻擊 (DoS, Denial of Service )

駭客透過 Zoom 分享會議連結的功能,發送惡意的會議連結,一旦點擊就會開始反覆收到錯誤號碼的 GET 請求,在未經用戶許可下,不僅會啟動攝影機,還會不斷被強制加入無數個無效會議,以達到 DoS 攻擊目的。

最令人擔憂的是,即使解除安裝也無濟於事,因為地方網路伺服器還是會幫用戶電腦自動重新連結到 Zoom 的客戶端。

手法三:偷聽 Zoom 視訊會議

在 Zoom 最新的漏洞中,由於設計機制的錯誤,系統會將用戶傳送的會議 ID 貼上合法(valid)或不合法(invalid)的標籤。

據此,駭客可以利用會議 ID 自動產生器,透過 API 不斷試誤,直到找到合法的會議 ID。而若該會議並沒有通行密碼,則駭客就能進入參與會議。所幸駭客無法透過這種做法得知會議由誰主持、何時舉辦,所以實際上駭客很難以此進行針對性的攻擊,且一旦駭客出現在出席名單中,也相當容易被注意到。

保障遠距資安,請你跟著這樣做!

資策會資安所副主任高傳凱表示,手法一與手法二都需要使用者自己觸發惡意連結,屬於中風險的資安問題,他提醒用戶務必更新到最新版本,切勿使用 Zoom 程式 4.4.5 以下的版本,同時也透過設定「加入會議時關掉相機」以求更多資安保障。

而手法三屬於風險度相對偏高的列舉攻擊(enumeration attack)漏洞,除了 Zoom 外,也曾發生在 Cisco 的 Webex 軟體上, 高傳凱建議,除了將應用程式更新到最新版本外,也別忘了將會議設置通行密碼( Password for Meeting)的功能打開,可以有效防範此類資安問題。

全球新冠肺炎疫情仍在延燒,未來遠距工作、遠距教學、線上發表會、線上研討會等活動需求勢必愈來愈多,大眾在使用會議視訊軟體時,更應隨時做好資安防範。

責任編輯:Mia
核稿編輯:Anny

延伸閱讀:




精選熱門好工作

策士事業群 策略總監 / Director

布爾喬亞公關顧問股份有限公司
臺北市.台灣

獎勵 NT$15,000

策士事業群 組織發展策士/ Manager, Strategic Organization Development

布爾喬亞公關顧問股份有限公司
臺北市.台灣

獎勵 NT$15,000

人力資源經(副)理 / HR Professional

布爾喬亞公關顧問股份有限公司
臺北市.台灣

獎勵 NT$15,000