Zoom解决了可用于操纵会议ID的安全性问题

Zoom和Check Point的研究人员共同努力，确定Zoom的可自定义URL功能中的安全问题。如果保持原样，此问题将允许黑客通过在Zoom上冒充潜在受害者组织的雇员来操纵会议ID，从而为黑客提供了窃取凭据和敏感信息的媒介。

Zoom解释说，虚荣URL是公司的自定义URL，例如yourcompany.zoom.us，如果要打开SSO（Sing Sign On），则需要该虚荣URL进行配置。

用户还可以使用自定义徽标/品牌为该虚荣页面添加品牌，通常您的最终用户无法访问该虚荣页面-他们只需单击链接即可在此处加入会议。

可以通过两种方式利用已修复的安全问题Zoom和Check Point。一个，黑客可以通过直接链接进行定位来操纵Vanity URL。设置会议时，黑客可能已将URL邀请更改为包括他们选择的注册子域。例如，如果原始链接为https://zoom.us/j/###########，则攻击者可以将其更改为https：// 《组织名称》 .zoom.us / j / ##########。

如果没有有关如何识别适当URL的特殊网络安全培训，则收到此邀请的普通用户将无法识别该邀请不是真实的，还是不是来自实际组织或真实组织的。

利用此安全问题的第二种方法是针对专用的Zoom接口。一些组织有自己的会议缩放界面。黑客可能会以该界面为目标，并试图重定向用户以将会议ID输入到恶意的Vanity URL中，而不是真正的Zoom界面。同样，与直接链接一样，如果没有适当的培训，大多数人将无法从真实的URL中识别出恶意URL。

黑客首先将自己介绍为公司的合法雇员，然后从组织的Vanity URL向相关用户发送邀请以获取信誉。最终，当用户使用恶意URL时，黑客可以窃取凭据和敏感信息。