У продуктах лінійки Webex Meetings виробництва Cisco Systems виявлені три уразливості, що дозволяють нелегально приєднатися до відеоконференції і стежити за її ходом, не розкриваючи своєї присутності.
Профільні хмарні сервіси Cisco пропатчити, оновлення безпеки для мобільних і серверних додатків Webex вже доступні, випуск інших запланований на 24 листопада, повідомляє Security Week.
За словами авторів знахідки, нові проблеми пов’язані з можливістю маніпулювання даними, якими клієнт Webex і бекенд-сервер обмінюються під час взаємодії.
Впровадження учасника-невидимки у відеоконференцію і персональні кімнати Webex було з успіхом відтворено на macOS, Windows і iOS.
Демонструючи результати аналізу уразливостей, експерти IBM відзначили, що експлуатація у всіх випадках можлива лише при наявності URL запланованого заходу та проводиться шляхом подачі особливого запиту на цільовий сервер.
Згідно з описами Cisco, нові лазівки в сукупності дозволяють хакеру зробити наступне:
Приєднатися до Webex-конференції, не потрапивши до жодного списку учасників, і отримати повний доступ до засобів аудіо- та відеотрансляції, чатах, а також текстовим і графічним матеріалам (CVE-2020-3419).
Слухати виступи навіть після занесення в чорні списки (CVE-2020-3471).
Збирати інформацію про учасників конференції, таку як повне ім’я, email, IP-адреса та тощо (CVE-2020-3441).
У поточному році популярність платформи Webex, за даними IBM, збільшилася в 5,5 разів – ймовірно, через COVID-19. У пікові дні співробітники компаній, які перебувають на дистанційній роботі, проводили по 4 мільйонів Webex-зустрічей з кількістю учасників до 324 мільйонів.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
У Zoom нарешті доступне наскрізне шифрування: як увімкнути його на своєму пристрої?
Фішингові листи: розпізнаємо шахрайство на реальному прикладі
Як зупинити отримання SMS на свій смартфон із розсилкою від торгових мереж?
Як виміряти рівень кисню у крові за допомогою Apple Watch? – ІНСТРУКЦІЯ
Як увімкнути нову функцію відстеження миття рук на Apple Watch? – ІНСТРУКЦІЯ
Нагадаємо, компанія Google випустила чергові патчі для Android, загалом усунувши понад 30 уразливостей. Найсерйознішою з нових проблем, згідно з бюлетенем, є можливість віддаленого виконання коду (RCE), виявлена в одному з компонентів системи Android.
Також мешканця міста Хмельницький впіймали на розповсюдженні конфіденційної інформації користувачів мережі Інтернет, серед якої були логіни та паролі доступу до різних інтернет-ресурсів, електронних поштових скриньок, облікових записів соціальних мереж та електронних гаманців
До речі, у WhatsApp з’явилася довгоочікувана функція, що дозволяє автоматично видаляти повідомлення. Тепер користувачі можуть включити “Автовидалення” для особистих чатів, після чого відправлені повідомлення будуть зникати через сім днів. У групових бесідах тільки адміністратори можуть включити або відключити нововведення.
Зверніть увагу, що зловмисники зловживають функціоналом Google Диска і використовують його для розсилки нібито легітимних електронних листів і push-повідомлень від Google, які в разі відкриття можуть перенаправити людей на шкідливі web-сайти.
Окрім цього, нову вимагацьку кампанію, націлену на користувачів сервісу для відеоконференцій Zoom, виявили дослідники Bitdefender Antispam Lab. Мова йде про так зване “інтимне вимагання” (sextortion), яке припало до смаку зловмисникам останнім часом.