Zoom私人会议密码可被暴力破解

视讯会议服务Zoom的网页客户端，被发现存在漏洞，导致受密码保护的私人会议可能遭人窃听。由于私人会议密码预设仅受6位数密码保护，最多就100万种可能性，而Zoom的网页客户端又没有限制密码错误输入的次数与速度，因此恶意人士可暴力破解私人会议密码。

Zoom网页客户端的这个漏洞，可能使私人会议被监听，连英国内阁会议都可能已经受到影响。Zoom官方在收到臭虫回报之后，已经立即解决这个漏洞，现在要求用户必须要登入才能加入会议，而且加长会议密码，使用字母加数字的组合，因此这项攻击已经失效。

在3月底的时候，英国-进行了第一次的数位内阁会议，开会工具使用Zoom，英国首相Boris Johnson在推特公告了这项消息，许多推特网友都想尝试加入会议，但是Zoom私人会议预设以密码保护会议，因此网友都被挡在会议之外。

而研究人员便开始尝试破解Zoom会议的密码，测试以Zoom进行机密会议的安全性，他透过对Zoom网页客户段进行逆向功能，发现了能够走访所有预设密码可能性的漏洞。

研究人员提到，限制密码尝试速率是密码安全性标准原则，能够避免攻击者用暴力法测试所有可能性破解密码，但是Zoom并没有加入这项限制，而且除了Zoom网页客户端，这项漏洞也适用所有App版本所创建的会议。

当使用者创建了一个新会议，Zoom会自动产生一个连结，该连结包含了会议ID以及会议密码杂凑，只要将网址中的密码参数移除，使用者会被导向一个要求输入密码以及使用者名称的页面，当使用者还未有任何Cookie，则网页客户端会配置一个Cookie，其中包含了GUID，可看作是使用者的匿名ID。

由于Zoom对于重复尝试密码次数没有限制，速度也只受到用户发出HTTP请求的速度限制，也就是在送出HTTP请求之后，需要等待第一个请求完成，才能发送第二个请求，这个状态是依据GUID存储，因此恶意人士可以请求多个GUID，同时进行密码测试，来加速密码破解。

研究人员使用一台AWS上的虚拟机器，进行了类似的测试，25分钟约可测试10万组密码，只要四到五台服务器就能够在数分钟内，检查完整个密码空间。这个漏洞不只可以被用来破解正在进行的会议，还可破解预先排程的会议。

使用者无法更改临时会议的6位数密码，但是可以修改预先安排会议的密码，但研究人员检查了过去收到的Zoom会议邀请，大部分使用者仍使用预设的数字密码，不过即便使用者修改了预先排程的会议密码，加入字母和数字组合，研究人员提到，虽然密码空间变大，但是他预计仍然不用一小时就能够破解。

研究人员在Boris Johnson的内阁会议截图中看到，有一个名称显示为iPhone的用户，麦克风静音且摄影机关闭，他提到，假设已经有人发现这个漏洞，而且利用这个漏洞破解内阁会议密码，该用户可能是任何有心人士，因此这个臭虫值得关注。

最后Zoom在收到研究人员的回报后，对密码输入机制做了一些调整，要求从网页客户端加入会议的用户先登入账号，并将预设密码更新成字母与数字的组合，研究人员提到，这个密码更改似乎为分阶段实施，因为在部分情况仍出现仅有数字的密码。