Уязвимостите бяха открити от изследователите Daan Keuper и Thijs Alkemade от Computest Security, софтуерна компания
Потребителят не трябваше да щраква върху нищо, за да може атаката успешно да превземе компютъра му. Грешката е показана в действието по-долу.
Все още потвърждаваме подробностите за експлойта #Zoom с Daan и Thijs, но ето по-добър gif на грешката в действие. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW
- Инициатива за нулев ден (@thezdi) 7 април 2021 г.
Според MalwareBytes Labs атаката трябва да идва отот приет външен контакт или да сте част от същия акаунт на организация. Това също се отрази на Zoom Chat, платформата за съобщения на компанията, но не се отрази на чата по време на сесия в Zoom срещите и Zoom видео уебинарите.
Keuper и Alkemad спечелиха $200 за откритието си000. Това беше първият път, когато състезанието включваше категория Корпоративни комуникации – предвид пандемията не е изненада защо Zoom беше участник и спонсор на събитието.
В изявление, обявяващо победата на Купър и Алкемаде, компаниятаComputest съобщава, че изследователите са успели да поемат почти пълен контрол върху целевите системи, извършвайки действия като включване на камерата, включване на микрофона, четене на имейл, проверка на екрана и изтегляне на историята на браузъра.
Zoom направи заглавия миналата годинапоради различни уязвимости. Това обаче се отнасяше главно до сигурността на самото приложение, както и до възможността за гледане и слушане заедно с видео разговори. Нашите открития са още по-сериозни. Уязвимостите в клиента ни позволиха да поемем цялата система от потребителите “, заяви Кеупер в изявление.
Вижте също:
- За криптиране е използвано инфрачервено лъчение от човешки ръце
- Създадоха първата точна карта на света. Какво не е наред с всички останали?
- В Долината на смъртта са открити бактерии, които са били в еволюционна стагнация в продължение на милиони години