تم اكتشاف الثغرات الأمنية من قبل الباحثين Daan Keuper وThijs Alkemade من شركة Computest Security، وهي شركة برمجيات.
ولم يكن على المستخدم النقر فوق أي شيء حتى يتمكن الهجوم من الاستيلاء على أجهزة الكمبيوتر الخاصة به بنجاح. يظهر الخطأ في الإجراء أدناه.
ما زلنا نؤكد تفاصيل ثغرة #Zoom مع Daan وThijs، ولكن إليك صورة أفضل للثغرة أثناء العمل. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW
- مبادرة Zero Day (thezdi) ٧ أبريل ٢٠٢١
وفقًا لـ MalwareBytes Labs، يجب أن يأتي الهجوم منمن جهة اتصال خارجية مقبولة أو أن تكون جزءًا من نفس حساب المؤسسة. أثر هذا أيضًا على Zoom Chat، منصة المراسلة الخاصة بالشركة، لكنه لم يؤثر على الدردشة أثناء الجلسة في اجتماعات Zoom وندوات الفيديو عبر Zoom عبر الإنترنت.
فاز كيوبر والكماد بمبلغ 200 دولار لاكتشافهماكانت هذه هي المرة الأولى التي تتضمن فيها المسابقة فئة الاتصالات المؤسسية - نظرًا للوباء، فليس من المستغرب أن تكون Zoom مشاركًا وراعيًا للحدث.
وفي بيان أعلن فيه فوز كوبر وألكويماد الشركةوأفاد موقع Computest أن الباحثين تمكنوا من السيطرة بشكل كامل تقريبًا على الأنظمة المستهدفة، وتنفيذ إجراءات مثل تشغيل الكاميرا، وإلغاء كتم صوت الميكروفون، وقراءة البريد الإلكتروني، والتحقق من الشاشة، وتنزيل سجل المتصفح.
تصدرت Zoom عناوين الصحف العام الماضيبسبب نقاط الضعف المختلفة. ومع ذلك ، كان هذا يتعلق بشكل أساسي بأمان التطبيق نفسه ، فضلاً عن القدرة على عرض مكالمات الفيديو والاستماع إليها. اكتشافاتنا أكثر جدية. وقال Keuper في بيان إن نقاط الضعف في العميل سمحت لنا بالاستيلاء على النظام بأكمله من المستخدمين.
انظر أيضا:
- تم استخدام الأشعة تحت الحمراء من أيدي الإنسان للتشفير
- أنشأت أول خريطة دقيقة للعالم. ما هو الخطأ مع أي شخص آخر؟
- في وادي الموت ، تم العثور على البكتيريا التي كانت في حالة ركود تطوري لملايين السنين