視訊會議工具爆漏洞可讓外人偷聽，影響Cisco WebEx、Zoom

安全廠商Cequence Security及CQ Prime本周揭露視訊會議工具包括Cisco WebEx Meetings、Zoom有列舉攻擊漏洞，可讓攻擊者發現並加入線上商務會議，可能導致敏感資料外洩。

視訊會議或線上文件共享服務會在會議前，派發一組以英文字母或數字組成的會議ID給散居各地的成員，方便他們透過網路連入會議。會議主持人可選擇要不要另外設密碼。研究人員發現視訊會議平台存在他們稱為「第三隻眼」（Prying Eye）的列舉攻擊（enumeration attack）漏洞，攻擊者以bot等自動化工具掃瞄這些平台的API，透過系統API呼叫的回應，列舉出哪些會議ID是有效的，以及是否需要密碼。如果會議未設密碼，攻擊者即可以參加者身份，連進會議聽取簡報或讀取內容。

研究團隊發現這項漏洞影響思科Cisco WebEx Meetings、Zoom，並於7月分別通報兩家公司。思科周三發佈安全公告，但思科不認為這是一項「漏洞」，而是設定問題，但思科仍警告WebEx Meetings用戶需為會議設密碼保護，以免不相干的人進入線上會議。

會議設了密碼，攻擊者雖然得知會議ID，但無法取得會議名稱、時間、主持人名稱，也無法加入會議。思科也指出，即使加入會議，攻擊者也會被發現而遭驅逐。Zoom也在9月中更新Meeting和Webinar兩項產品，預設會議需設密碼。

Zoom 7月間也曾被發現Mac版用戶端軟體內建本地網頁伺服器，可能讓駭客遠端啟動攝影機或發動阻斷服務（DoS）攻擊。蘋果隔天也迅速將這個軟體元件從Zoom Mac 版用戶端移除。