Zoom解决了可以用来操纵会议ID的安全问题

1、来自Zoom和Check Point的研究人员共同确定了Zoom的可定制URL功能中的安全问题。如果不加以控制，这个问题将允许黑客通过在Zoom上冒充潜在受害组织的员工来操纵会议ID，从而为黑客提供窃取凭据和敏感信息的媒介。

2、Zoom解释说，虚荣URL是用户自定义的公司URL，比如yourcompany.zoom.us如果要打开SSO(唱歌签到)，需要配置这个虚荣URL。

3、用户还可以使用自定义徽标/品牌将品牌添加到这个名利场页面，您的最终用户通常无法访问该页面-他们只需单击链接即可加入此处的会议。

4、有两种方法可以解决缩放和检查点的安全问题。首先，黑客可以通过直接链接定位来操纵虚荣网站。设置会议时，黑客可能已经更改了网址邀请，以包括他们选择的注册子域。例如，如果原始链接是https://zoom.us/j/###########,攻击者可以将其更改为https://组织name.zoom.us/j/# # # # # # # # # # # #。

5、如果没有关于如何识别合适网站的专门网络安全培训，收到此邀请的普通用户将无法识别邀请是真实的还是来自真实组织。

6、利用这个安全问题的第二种方法是瞄准专用的Zoom接口。有些组织有自己的会议缩放界面。黑客可能会针对这个界面，试图将用户输入的会议ID重定向到恶意的Vanity URL，而不是真正的Zoom界面。同样，像直接链接一样，没有经过适当的培训，大多数人将无法从真实网站中识别恶意网站。

7、黑客首先介绍自己是公司的合法员工，然后从组织的Vanity URL向相关用户发送邀请，以获得可信度。最后，当用户使用恶意URL时，黑客可以窃取凭据和敏感信息。