นักวิจัยของ Check Point ได้ทำการเปิดเผยช่องโหว่ Zero-Day ใหม่ในแอปพลิเคชันยอดนิยม Zoom ซึ่งช่องโหว่จะเปิดทางให้ผู้โจมตีสามารถปลอมเเปลงเป็นองค์กรเพื่อหลอกพนักงานหรือหุ้นส่วนธุรกิจให้เปิดเผยข้อมูลส่วนบุคคลหรือข้อมูลลับอื่น ๆ โดยใช้กลวิธีทาง Social-engineering
นักวิจัยของ Check Point กล่าวว่าช่องโหว่นี้อยู่ในฟีเจอร์ Vanity URL ของ Zoom ซึ่งฟีเจอร์นี้ได้เปิดให้ผู้ใช้งานในรูปเเบบบริษัทสามารถทำการกำหนดโดเมน Zoom meeting ที่เชื่อมโยงไปยังห้องการประชุม Zoom ได้เช่น https://organization_name.zoom.us/j/########## โดยเเทนรูปแบบเดิมคือ https://zoom.us/j/########## ช่องโหว่ทำให้ผู้โจมตีสามารถใช้ meeting ID ที่สร้างขึ้นนำเพื่อนำไปใช้กับ Vanity URL ของบริษัทใดๆ ถึงเเม้ว่าบริษัทนั้นๆ จะมี meeting ID ที่ใช้อยู่แล้วก็ตาม จากนั้นผู้โจมตีจะทำการส่ง Vanity URL นั้นๆ ไปยังผู้ใช้ เพื่อทำการ Phishing ผู้ใช้ ซึ่งอาจทำให้ผู้โจมตีปลอมเเปลงและแอบอ้างเป็นพนักงานของบริษัทนั้นๆ ได้
ทั้งนี้นักวิจัยของ Check Point ได้ทำการเเจ้งช่องโหว่และผลกระทบต่อ Zoom แล้วซึ่ง Zoom ได้เเก้ไขปัญหานี้แล้ว ผู้ใช้งานควรสังเกตลิงก์ทุกครั้งที่ทำการคลิกเข้าชมเพื่อป้องกันผู้ไม่ประสงค์ดีทำการปลอมเเปลง URL ไปสู่เว็บไซต์ที่เป็นอันตรายของผู้โจมตี
ที่มา: