מחבר: חאן נגוין ין, Software מהנדס ב', OPSWAT
רֶקַע
ישנם ארגונים ואנשים פרטיים רבים היוצרים תוכניות הצפנה משלהם. בעוד שישנם יתרונות אבטחה לשימוש בתוכנית מותאמת אישית, החסרונות מתעצמים כאשר לתוכנה המשתמשת בתוכנית יש מספר רב של משתמשים. זום היא חברה אחת המשתמשת בתוכנית הצפנה קניינית משלה, ופגיעות אבטחה חמורה הקשורה להצפנה זו התגלתה. כתוצאה מפגיעות זו, דלף מידע של יותר מ-500,000 משתמשי Zoom Meetings.
בגלל מגפת הקורונה, ממשלות אוכפות צווי מחסה במקום, מה שהוביל לעובדים לעבוד מהבית. כדי לעבוד ביעילות, עליהם להישאר מחוברים בצורה מאובטחת ולתקשר. זום הוא כלי שאנשים רבים ברחבי העולם משתמשים בו כדי לעזור להם לעשות זאת. למעשה, חברות רבות משתמשות בו כאמצעי התקשורת העיקרי שלהן, מה שהופך את הפגיעות הזו לבעיה חמורה.
למה זה קרה?
בפוסט בבלוג של זום באפריל, זום מסביר שהם אינם מיישמים כרגע הצפנה מקצה לקצה בפועל, למרות שהם כינו את ההצפנה שלהם "מקצה לקצה". הם השתמשו במונח כדי לתאר סוג של הצפנת העברה בין מכשירים לשרתי זום. כתוצאה מכך, תיאורטית, לזום יש את היכולת לפענח ולנטר מידע מפגישות זום, ברגע שהמידע נמצא בשרת.
איפה הפגיעות?
נתוני הווידאו והאודיו של פגישות זום מופצים לכל המשתתפים דרך שרת זום (הענן של זום). כאשר לקוחות בוחרים לארח פגישות מקומיות, זום מייצרת ומקבלת גישה למפתח AES שמצפין את הפגישה. מארחי הפגישות יכולים להגדיר את הפגישות שלהם לחדרי המתנה וירטואליים, מה שמונע ממשתתפי הפגישה גישה ישירה לפגישת זום. במקום זאת, המשתתפים חייבים להמתין עד שמארח הפגישה יאפשר להם להיכנס (לדברי חוקרי The Citizen Lab ). עם זאת, לכל אדם בחדר ההמתנה יש גישה למפתח הפענוח של הפגישה. לכן, גורם זדוני אינו צריך להצטרף לפגישה בפועל כדי לגשת לזרם הווידאו והאודיו של הפגישה.
דווח על בעיית אבטחה קריטית נוספת בהצפנה של זום. על פי מסמכים שפורסמו בעבר, אפליקציית זום השתמשה באלגוריתם AES-256 כדי להצפין תוכן פגישות. אך, אפליקציית זום משתמשת למעשה במפתח הצפנה יחיד של 128 סיביות.
לבסוף, Zoom מצפין ומפענח את כל האודיו והווידאו במהלך פגישות באמצעות AES במצב ECB. הצפנת ECB אינה מומלצת מכיוון שהיא אינה מאובטחת מבחינה סמנטית, כלומר צפייה בטקסט מוצפן מוצפן על ידי ECB עלולה לדלוף מידע על הטקסט הרגיל. מצב ECB משמש באותו בלוק (8 או 16 בתים) של הצפנת טקסט רגיל שתמיד מניב את אותו בלוק של טקסט מוצפן. זה יכול לאפשר לתוקף לזהות שהודעות מוצפנות ECB זהות או מכילות נתונים חוזרים, חולקות קידומת משותפת, או תת-מחרוזות משותפות אחרות.
לפרטים נוספים, יש הדגמה גרפית יפה של חולשה זו בוויקיפדיה.
פגיעות הצפנה זו דווחה כ- CVE-2020-11500 .
מידע נוסף על פגיעות זו זמין opswat metadefender
השפעות אפשריות
יהיה קל יותר לתוקפים לפענח תוכן פגישות ולהפר את פרטיות המשתמשים.
איך OPSWAT לזהות פגיעות בזום?
טכנולוגיות OPSWAT יכולות לנטר את כל נקודות הקצה בארגון שיש להן פגיעות זו.
MetaDefender Access יכול לזהות מכשירים עם פגיעות זום CVE-2020-11500, וכן לספק הוראות תיקון.
תיקון
מומלץ מאוד לעדכן את זום תמיד .
הפניות
https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/
https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf
https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation#Electronic_Codebook_(ECB)
https://citizenlab.ca/2020/04/zooms-waiting-room-vulnerability/
