Zoom和Check Point的研究人員共同努力，確定Zoom的可自定義URL功能中的安全問題。如果保持原樣，此問題將允許黑客通過在Zoom上冒充潛在受害者組織的雇員來操縱會議ID，從而為黑客提供了竊取憑據(jù)和敏感信息的媒介。

Zoom解釋說，虛榮URL是公司的自定義URL，例如yourcompany.zoom.us，如果要打開SSO（Sing Sign On），則需要該虛榮URL進(jìn)行配置。

用戶還可以使用自定義徽標(biāo)/品牌為該虛榮頁面添加品牌，通常您的最終用戶無法訪問該虛榮頁面-他們只需單擊鏈接即可在此處加入會議。

可以通過兩種方式利用已修復(fù)的安全問題Zoom和Check Point。一個，黑客可以通過直接鏈接進(jìn)行定位來操縱Vanity URL。設(shè)置會議時，黑客可能已將URL邀請更改為包括他們選擇的注冊子域。例如，如果原始鏈接為https://zoom.us/j/###########，則攻擊者可以將其更改為https：// 《組織名稱》 .zoom.us / j / ##########。

如果沒有有關(guān)如何識別適當(dāng)URL的特殊網(wǎng)絡(luò)安全培訓(xùn)，則收到此邀請的普通用戶將無法識別該邀請不是真實(shí)的，還是不是來自實(shí)際組織或真實(shí)組織的。

利用此安全問題的第二種方法是針對專用的Zoom接口。一些組織有自己的會議縮放界面。黑客可能會以該界面為目標(biāo)，并試圖重定向用戶以將會議ID輸入到惡意的Vanity URL中，而不是真正的Zoom界面。同樣，與直接鏈接一樣，如果沒有適當(dāng)?shù)呐嘤?xùn)，大多數(shù)人將無法從真實(shí)的URL中識別出惡意URL。

黑客首先將自己介紹為公司的合法雇員，然后從組織的Vanity URL向相關(guān)用戶發(fā)送邀請以獲取信譽(yù)。最終，當(dāng)用戶使用惡意URL時，黑客可以竊取憑據(jù)和敏感信息。