Ranjivosti su otkrili istraživači Daan Keuper i Thijs Alkemade iz softverske tvrtke Computest Security
Korisnik nije morao ništa kliknuti da bi napad uspješno preuzeo njegovo računalo. Greška je prikazana u akciji ispod.
Još uvijek potvrđujemo detalje eksploatacije #Zoom s Daanom i Thijsom, ali evo boljeg gifa buga na djelu. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW
- Inicijativa nula dana (@thezdi) 7. travnja 2021
Prema MalwareBytes Labsu, napad mora doći izod prihvaćenog vanjskog kontakta ili biti dio računa iste organizacije. To je također utjecalo na Zoom Chat, platformu za razmjenu poruka tvrtke, ali nije utjecalo na chat tijekom sesije na Zoom sastancima i Zoom video webinarima.
Keuper i Alkemad osvojili su 200 dolara za svoje otkriće000. Ovo je bio prvi put da je natjecanje imalo kategoriju Korporativne komunikacije – s obzirom na pandemiju, ne čudi zašto je Zoom bio sudionik i sponzor događaja.
U izjavi u kojoj je objavljena pobjeda Coopera i Alquemadea, tvrtkaComputest je izvijestio da su istraživači uspjeli preuzeti gotovo potpunu kontrolu nad ciljanim sustavima, izvodeći radnje poput uključivanja kamere, isključivanja mikrofona, čitanja e-pošte, provjere zaslona i preuzimanja povijesti preglednika.
Zoom je prošle godine dospio na naslovnicezbog raznih ranjivosti. Međutim, to se uglavnom odnosilo na sigurnost same aplikacije, kao i na mogućnost gledanja i slušanja uz video pozive. Naša su otkrića još ozbiljnija. Ranjivosti u klijentu omogućile su nam da preuzmemo cijeli sustav od korisnika ”, rekao je Keuper u izjavi.
Pogledajte i:
- Za šifriranje je korišteno infracrveno zračenje ljudskih ruku
- Stvorio prvu preciznu kartu svijeta. Što nije u redu sa svima ostalima?
- U Dolini smrti pronađene su bakterije koje su milijunima godina bile u evolucijskoj stagnaciji