Zoom, videokonferenstjänsten som har exploderat i det vakuum som skapats av COVID-19-utbrottet, har utstått avslöjandet av en rad integritets- och säkerhetsbrister de senaste dagarna. Nu har forskare identifierat just en sådan brist i en funktion som marknadsförs specifikt som ett sätt att göra möten säkrare.

Zoom sa på onsdagen att det hade åtgärdat en sårbarhet med sin väntrumsfunktion.

Funktionen gör att mötesvärdar kan behålla blivande deltagare i en digital kö i avvaktan på godkännande. Läkare kan använda den för att hålla flera telehälsotimmar i rad, och anställningschefer kan genomföra staplade videointervjuer, föreslog företaget i ett blogginlägg i februari.

Eftersom användare har stött på problem med "zoombombning" - där deltagarna avbryter och spårar av möten, ofta genom att använda offensiva bilder eller rasistiska förtal - företaget har pekat på väntrumsfunktionen som ett sätt att skydda mot denna typ av intrång.

Men säkerhetsforskare som undersöker skrivbordsklienten för sårbarheter fann att Zoom -servrar automatiskt skulle skicka live -videodata till användare i mötets väntrum, även om de ännu inte hade godkänts för att gå med av den som håller mötet. Dessa användare skickades också mötets dekrypteringsnyckel - koden som behövs för att låsa upp säker kommunikation. Användare kan hypotetiskt extrahera videostreamingen, sa forskare.

"Om du var måttligt tekniskt sofistikerad, du kunde titta på vad som hände i väntrummet, "sa Bill Marczak, en kollega på Citizen Lab och en postdoktoral forskare vid UC Berkeley som fann sårbarheten. En ljudström av samtalet, dock, var inte tillgänglig.

Marczak sa att han och John Scott-Railton från Citizen Lab meddelade Zoom förra veckan. De redogjorde för sina resultat i en rapport som publicerades onsdag, efter att de fått ett mejl från företaget som säger att problemet var åtgärdat.

På onsdag, Zooms verkställande direktör Eric Yuan nämnde under ett webbinarium som hölls för att ta itu med sekretessproblemen att Zoom hade åtgärdat ett problem med dess väntrumsfunktion.

"Vi uppdaterade vår server. Vår sårbarhet i väntrummet är redan åtgärdad. "Sa Yuan på webinaret." Från serversidan, vi skickade inte ljud- och videodata till väntrumsklienten. Dock, vi skickade sessionsnyckeln .... Vi trodde inte att det var säkert, så vi bytte server. "

Yuans kommentar stämde inte överens med vad Marczak och Scott-Railton fann, de skrev. Videoströmmen var tidigare tillgänglig, även om problemet sedan har åtgärdats, Sa Marczak.

Zoom svarade inte omedelbart på en begäran om kommentar om denna skillnad.

© 2020 Los Angeles Times
Distribueras av Tribune Content Agency, LLC.