Zranitelnosti objevili výzkumníci Daan Keuper a Thijs Alkemade ze softwarové společnosti Computest Security.
Uživatel nemusel nic klikat, aby útok úspěšně ovládl jeho počítač. Chyba je zobrazena v akci níže.
Stále potvrzujeme podrobnosti o exploitu #Zoom s Daanem a Thijsem, ale tady je lepší gif chyby v akci. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW
- Zero Day Initiative (@thezdi) 7. dubna 2021
Podle MalwareBytes Labs musí útok pocházet odod přijatého externího kontaktu nebo být součástí stejného účtu organizace. To také ovlivnilo Zoom Chat, platformu společnosti pro zasílání zpráv, ale neovlivnilo chat během relace na schůzkách Zoom a video webinářích Zoom.
Keuper a Alkemad za svůj objev vyhráli 200 dolarů000. Bylo to poprvé, kdy soutěž obsahovala kategorii Corporate Communications – vzhledem k pandemii není překvapením, proč byl Zoom účastníkem a sponzorem akce.
V prohlášení oznamujícím vítězství Coopera a Alquemadea společnostComputest uvedl, že výzkumníci byli schopni převzít téměř úplnou kontrolu nad cílovými systémy, provádět akce, jako je zapnutí kamery, vypnutí mikrofonu, čtení e-mailů, kontrola obrazovky a stahování historie prohlížeče.
Zvětšení provedené nadpisy v loňském rocekvůli různým zranitelnostem. Jednalo se však hlavně o zabezpečení samotné aplikace, stejně jako o schopnost prohlížet a poslouchat spolu s videohovory. Naše objevy jsou ještě vážnější. Zranitelnost klienta nám umožnila převzít celý systém od uživatelů, “uvedl Keuper ve svém prohlášení.
Viz také:
- K šifrování bylo použito infračervené záření z lidských rukou
- Vytvořil první přesnou mapu světa. Co se děje s ostatními?
- V Údolí smrti byly nalezeny bakterie, které byly po miliony let v evoluční stagnaci