Bezpečnostní pracovníci spoločnosti IBM sa pozreli na bezpečnosť videokonferenčnej platformy Cisco Webex a odhalili chybu, ktorá do online stretnutia mohla vpustiť nezvaného hosťa.
Iniciatíva vzišla predovšetkým z približne 451 percentného nárastu počtu užívateľov aplikácie počas prvej vlny celosvetovej pandémie Covid-19.
Nezvaný hosť
Audit Webexu odhalil tri konkrétne chyby, ktoré výskumníci IBM demonštrovali na operačných systémoch Windows, MacOS a iOS.
Akéhokoľvek stretnutia sa mohol zúčastniť nikým nepozvaný tieňový pozorovateľ, ktorý by ostal neviditeľný na zozname účastníkov. Mal by však plný prístup k zvuku, obrazu, zdieľanej obrazovke aj chatu.
Aj keby hostiteľ konferencie tzv. ghosta po odhalení vylúčil, ten by mohol aj naďalej zostať prihlásený s prístupom k audiu.
Ghost mal taktiež príležitosť získať prístup k informáciám o ďalších účastníkoch vrátane ich mien, emailových adries a IP adries.
Záplata už je na svete
Nezvanému hosťovi by dvere do online stretnutia otvoril zásah do handshake procesu, ktorý je zodpovedný za výmenu informácií medzi serverom Webexu a používateľom aplikácie.
Handshake zahŕňa ID stretnutia, detaily o tzv. meeting room, prípadne ďalšie informácie o účastníkoch. Hacker mohol tieto informácie po prelomení zneužiť a pripojiť sa k video stretnutiu ako ghost.
Firma Cisco po upozornení na bezpečnostné medzery reagovala vydaním nového patchu. Užívatelia by si mali svoje Webex aplikácie preto aktualizovať.
IBM pre zabezpečenie videohovorov vo všeobecnosti odporúča prehodnotiť mieru dôvernosti online stretnutí, využívať unikátne identifikátory hovoru a heslá, sledovať aktivitu prihlasovania a vypínať podozrivých volajúcich.
Záškodníkom pandémia praje
Webex nie je prvá a ani jediná aplikácia, ktorá počas pandémie čelila zneužívaniu závažnej chybe zabezpečenia.
Používatelia Zoomu sa stretli s problémom tzv. Zoombombingu, na ktorý už platforma reagovala vydaním viacerých nástrojov na odhaľovanie nepovolaných účastníkov.
Michael Andruch