Sårbarhederne blev opdaget af forskerne Daan Keuper og Thijs Alkemade fra Computest Security, et softwarefirma
Brugeren behøvede ikke at klikke på noget, for at angrebet kunne overtage deres computer. Fejlen er vist i handlingen nedenfor.
Vi bekræfter stadig detaljerne i #Zoom-udnyttelsen med Daan og Thijs, men her er en bedre gif af fejlen i aktion. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW
- Zero Day Initiative (@thezdi) 7. april 2021
Ifølge MalwareBytes Labs skal angrebet komme frafra en accepteret ekstern kontakt eller være en del af den samme organisationskonto. Dette påvirkede også Zoom Chat, virksomhedens meddelelsesplatform, men påvirkede ikke chat under session i Zoom-møder og Zoom-videowebinarer.
Keuper og Alkemad vandt $200 for deres opdagelse000. Dette var første gang, konkurrencen indeholdt en Corporate Communications-kategori - i betragtning af pandemien er det ingen overraskelse, hvorfor Zoom var deltager og sponsor for begivenheden.
I en erklæring, der annoncerer Cooper og Alquemades sejr, har virksomhedenComputest rapporterede, at forskerne var i stand til at tage næsten fuldstændig kontrol over målsystemerne, udføre handlinger såsom at tænde kameraet, slå mikrofonen til, læse e-mail, tjekke skærmen og downloade browserhistorik.
Zoom skabte overskrifter sidste årpå grund af forskellige sårbarheder. Dette vedrørte imidlertid hovedsageligt selve applikationens sikkerhed samt muligheden for at se og lytte sammen med videoopkald. Vores opdagelser er endnu mere alvorlige. Sårbarhederne i klienten tillod os at overtage hele systemet fra brugerne, ”sagde Keuper i en erklæring.
Se også:
- Infrarød stråling fra menneskelige hænder blev brugt til kryptering
- Oprettet det første nøjagtige kort over verden. Hvad er der galt med alle andre?
- I Death Valley blev der fundet bakterier, der var i evolutionær stagnation i millioner af år