A sérülékenységet Daan Keuper és Thijs Alkemade, a Computest Security szoftvercég kutatói fedezték fel.
A felhasználónak nem kellett semmit sem kattintania ahhoz, hogy a támadás sikeresen átvegye a számítógépét. A hiba az alábbi műveletben látható.
Még mindig megerősítjük a #Zoom exploit részleteit Daannal és Thijs-szal, de itt van egy jobb gif a hiba működéséről. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW
- Zero Day Initiative (@thezdi) 2021. április 7
A MalwareBytes Labs szerint a támadásnak innen kell származniaelfogadott külső kapcsolattartótól, vagy ugyanannak a szervezeti fióknak a része. Ez hatással volt a Zoom Chatre, a vállalat üzenetküldő platformjára is, de nem volt hatással a Zoom értekezleteken és a Zoom videós szemináriumokon folytatott beszélgetésekre.
Keuper és Alkemad 200 dollárt nyert felfedezésükért000. Ez volt az első alkalom, hogy a versenyen vállalati kommunikációs kategória szerepelt – a járvány miatt nem meglepő, hogy a Zoom miért volt az esemény résztvevője és szponzora.
A Cooper és Alquemade győzelmét bejelentő közleményben a cégA Computest jelentése szerint a kutatók szinte teljesen át tudták venni az irányítást a célrendszerek felett, olyan műveleteket hajtottak végre, mint a kamera bekapcsolása, a mikrofon némításának feloldása, az e-mailek elolvasása, a képernyő ellenőrzése és a böngészési előzmények letöltése.
A Zoom tavaly került címlapokrakülönféle sérülékenységek miatt. Ez azonban elsősorban maga az alkalmazás biztonságát, valamint a videohívásokkal való megtekintés és meghallgatás lehetőségét érintette. Felfedezéseink még súlyosabbak. Az ügyfél biztonsági rései lehetővé tették számunkra, hogy a teljes rendszert átvegyük a felhasználóktól. ”- nyilatkozta Keuper.
Lásd még:
- Titkosításhoz emberi kéz infravörös sugárzását használták
- Létrehozta a világ első pontos térképét. Mi a baj mindenki mással?
- A Halál-völgyben olyan baktériumokat találtak, amelyek évmilliókon át evolúciós stagnálásban voltak