Chyba v Zoomu může odhalit citlivé informace účastníkům hovoru

Zpět na blog

Podle nejnovějších zjištění může nově objevená chyba ve funkci sdílení obrazovky v aplikaci Zoom omylem prozradit citlivé informace ostatním účastníkům hovoru. Bezpečnostní chyba označená jako CVE-2021-28133, umožňuje krátce odhalit obsah oken a aplikací, které nejsou sdíleny.

Funkce sdílení obrazovky v Zoomu umožňuje uživatelům sdílet celou obrazovku plochy nebo telefonu, nebo omezit sdílení na jednu nebo více specifických aplikací nebo část obrazovky. Problém je v tom, že druhá aplikace, která je překryta již sdílenou aplikací, může na krátkou dobu odhalit obsah okna, které nebylo explicitně sdílena.

Chyba, která byla testována na verzích 5.4.3 a 5.5.4 jak u Windows, tak u linuxových systémů, byla společnosti Zoom známena 2. prosince 2020. Nedostatek nápravy i po třech měsících lze částečně přičíst tomu, že je složité tuto zranitelnost reálně využít.

Tato chyba však může mít vážné důsledky v závislosti na povaze neúmyslně sdílených dat. Účastník schůzky Zoom může využít slabiny tím, že využije nástroj pro zachycení obrazovky pro záznam schůzky a přehraje si následně záznam pro zobrazení soukromých informací. Tímto způsobem mohou uniknout důležitá data, loginy, obchodní tajemství a další informace.

Potenciál zneužití umocňuje neopatrnost uživatelů, kteří často pracují s několika okny a mohou nechtěně vystavit některá důležitá data ohrožení. Navíc se Zoom stal jedním z předních nástrojů pro videohovory, který používají organizace všech typů a velikostí.

Mluvčí Zoom řekl, že společnost o zranitelnosti ví a na řešení problému v současné době usilovně pracuje.

Zdroj: THN

26. 3. 2021