我如何「駭」進全球 Zoom 使用者帳號

作者透過 ZOOM 的漏洞,發現只要知道 email,就可以入侵所有人的帳號。雖然此漏洞已經修復,但這不過是 3 月底的事,距今才一個多禮拜。
評論
Shutterstock/達志影像
Shutterstock/達志影像
評論

本文作者 s3c,可以在 Twitter 追蹤 @sec_krd。原文《How i hacked worldwide ZOOM users》刊登於 Medium,INSIDE 經授權刊登,Mia 編譯。

4/10 更新:作者在原文加入尾段並新增獎金數額,本譯文將新增部分以「 *」標註

大家好。

我在測試 zoom.us 的登入系統時發現,如果你選擇用 Facebook 帳號登入,而且你的 Facebook 帳號沒有綁定電子信箱,Zoom 就會要求你輸入一個新的 email 信箱。

zoom_hack
第 1 步

我覺得這很適合拿來測試一下,所以首先我在 Zoom 鍵入了一個實際存在的 email 看會發生什麼事。

zoom_hack_2
第 2 步

它傳送了一封啟動碼到這個信箱位址。

zoom_hack_3
第 3 步

所以我打開信箱,並且看到信件內容表示只要認證這個信箱位址,之後就可以用 Facebook 帳號登入。於是我點擊了確認鈕,並被導向這個網址:

https://zoom.us/signin/term_accept/verify_email?code=vAlA5Mtp_jPqfUUPMuWK……
Zoom_hack_4
第 4 步

打開連結後就會到這個頁面,只要點擊「現在啟用」Facebook 帳號就會和這個 email 連結。

但是接著我看到連結裡面的參數碼,就嚇到了!

第 4 步驟裡面的參數碼和第二步驟的參數碼一模一樣。

這代表你不用去收信箱裡的啟動碼,攻擊者只要用(第 2 步)網址裡面的這串參數就能啟動任何帳號,並把它連結到 Facebook 帳號上。

https://zoom.us/signin/term_accept/one_more?code=XXX 

並且把這串參數套用到(第 4 步)的啟動 email 網址裡面。

https://zoom.us/signin/term_accept/verify_email?code=XXX  

看看以下這段影片攻擊者如何只知道 email 地址就能駭進任何帳號。

之後我想到,有很多公司都用自己的商用 email 去註冊 Zoom 的帳號,比如 [email protected] 之類的。

所以如果攻擊者用 [email protected] 這個 email 建立一個 Zoom 帳號,並利用上述 bug 通過認證,攻擊者就能在 Zoom 的「公司聯絡人」欄位看到所有 *@companyname.com 結尾的 email。這表示攻擊者可以進一步駭進這整間公司所有的 Zoom 帳號。

影響

攻擊者可以:

  1. 加入任何使用者的會議。
  2. 讀取任何使用者的聊天、影片、照片、文字內容。
  3. 讀取任何公司的所有 email 地址。

還有更多⋯⋯

更新

2020/3/30 找到這個 bug 並回報給 Zoom。

2020/4/1 bug 修好了,並且發給我* 3 千美元獎金和獎品。

*聲明

我只有用我的帳號測試,所有使用者都是安全的。如果你覺得 Zoom 不夠安全,那你就錯了。如果沒有白帽駭客的幫忙,沒有網站是 100% 安全的,而有很多白帽駭客試著幫忙改進 Zoom 的資安。

核稿編輯:李柏鋒

延伸閱讀:




精選熱門好工作

後端工程師 (Back-End Developer)

FunNow
臺北市.台灣

獎勵 NT$15,000

iOS工程師

Omlet Arcade 美商歐姆雷特
臺北市.台灣

獎勵 NT$15,000

後端工程師 Back-end Engineer

諦諾智金股份有限公司
臺北市.台灣

獎勵 NT$15,000