Haavoittuvuudet löysivät ohjelmistoyrityksen Computest Securityn tutkijat Daan Keuper ja Thijs Alkemade.
Käyttäjän ei tarvinnut napsauttaa mitään, jotta hyökkäys onnistuisi ottamaan hänen tietokoneensa haltuunsa. Virhe näkyy alla olevassa toiminnossa.
Vahvistamme edelleen #Zoom-hyödyntämisen yksityiskohtia Daanin ja Thijsin kanssa, mutta tässä on parempi gif bugista toiminnassa. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW
- Zero Day Initiative (@thezdi) 7. huhtikuuta 2021
MalwareBytes Labsin mukaan hyökkäyksen on oltava peräisinhyväksytyltä ulkopuolelta tai olla osa samaa organisaatiotiliä. Tämä vaikutti myös Zoom Chatiin, yrityksen viestinvälitysalustaan, mutta se ei vaikuttanut istunnon sisäisiin keskusteluihin Zoom-kokouksissa ja Zoom-videoseminaareissa.
Keuper ja Alkemad voittivat löydöstään 200 dollaria000. Tämä oli ensimmäinen kerta, kun kilpailussa oli Corporate Communications -kategoria - pandemian vuoksi ei ole yllätys, miksi Zoom oli tapahtuman osallistuja ja sponsori.
Lausunnossaan, jossa yhtiö ilmoitti Cooperin ja Alquemaden voitostaComputest raportoi, että tutkijat pystyivät hallitsemaan kohdejärjestelmiä lähes täydellisesti suorittamalla toimintoja, kuten kameran kytkemisen, mikrofonin mykistyksen poistamisen, sähköpostin lukemisen, näytön tarkistamisen ja selainhistorian lataamisen.
Zoom pääsi otsikoihin viime vuonnauseiden haavoittuvuuksien takia. Tämä koski kuitenkin lähinnä itse sovelluksen turvallisuutta sekä kykyä katsella ja kuunnella videopuheluita. Löytömme ovat vielä vakavampia. Asiakkaan haavoittuvuudet antoivat meidän ottaa haltuunsa koko järjestelmän käyttäjiltä ", Keuper sanoi lausunnossaan.
Katso myös:
- Salaus käytettiin ihmisen käsistä tulevaa infrapunasäteilyä
- Luonut ensimmäisen tarkan maailman kartan. Mitä vikaa kaikilla muilla on?
- Kuolemanlaaksosta löydettiin bakteereita, jotka olivat evoluutiopysähdyksissä miljoonien vuosien ajan