به گزارش سیسکو تالوس، یک آسیبپذیری موجود در سرویس کنفرانس ویدیویی زوم (Zoom) میتواند برای تعیین تعداد کاربران یک سازمان که در این برنامه ثبتنام کردهاند، مورد بهرهبرداری قرار بگیرد. برنامهی کنفرانس ویدیویی زوم طی چند هفتهی گذشته توجه بسیاری را به خود جلب کرده است، بهخصوص که بسیاری از سازمانها از کارمندان خود خواستهاند که در طول همهگیری فعلی ویروس کرونا (COVID-19)، در خانههای خود کار کرده و به این ترتیب، زوم به یک گزینهی اصلی برای ارتباطات داخلی تبدیل شده است.
محققان امنیتی تالوس دریافتند که مهاجم میتواند لیست کاملی از کاربران زوم را در یک سازمان خاص بهدست آورد. به گفتهی محققان، این اشکال که در سمت سرور وجود دارد، تابعی را تحت تأثیر قرار میدهد که از سوی برنامهی زوم، بهمنظور پیداکردن مخاطبان یک سازمان، در اختیار کاربران قرار گرفته است.
چت زوم بر اساس استاندارد XMPP است، به این معنی که کلاینت یک درخواست XMPP با یک نام گروه مشخص را که در این حالت، در واقع یک دامنهی ایمیل ثبتشده است، ارسال میکند. از آنجایی که سرور، این درخواست را برای اطمینان از این موضوع که آیا کاربر به دامنهی جستجوشده تعلق دارد یا خیر، اعتبارسنجی نمیکند، کاربران دلخواه میتوانند لیست تماس دامنههای ثبتشدهی دلخواه را درخواست کنند.
برای بهرهبرداری از این اشکال، مهاجم نیاز دارد تا پس از احراز هویت درست از سوی زوم از طریق یک حساب کاربری معتبر، یک پیام طراحیشدهی XMPP را بهمنظور دریافت لیستی از کاربران مرتبط با دامنهی هدف ارسال کند. پاسخ دریافتی از سوی سرور زوم، لیستی از نام و نام خانوادگی کاربران ثبتشده در آن دامنه را در اختیار مهاجم قرار میدهد. علاوهبراین، مهاجم میتواند با سایر پرسشهای XMPP، به اطلاعات بیشتری، از جمله آدرس ایمیل کاربر، شمارهی تلفن و سایر اطلاعات موجود در کارت ویزیت الکترونیکی آنها، نیز دسترسی پیدا کند.
به گفتهی محققان، این آسیبپذیری میتواند با هدف دستیابی به آدرس ایمیل تمامی کاربران زوم در یک سازمان، در یک حملهی فیشینگ هدفدار (spear-phishing) بر علیه افراد شناختهشده مورد بهرهبرداری قرار بگیرد.
بهنظر میرسد که زوم درحالحاضر این نقص را وصله کرده است. از آنجایی که این آسیبپذیری در سمت سرور قرار دارد، کاربران و مدیران نیازی به انجام اقدامات اضافی برای محافظت از خود ندارند.