מומחים מצאו נקודות תורפה של זום המאפשרות לחטוף את המחשב ללא לחיצה אחת

הפגיעות התגלו על ידי החוקרים דאן קופר ות'יס אלקמייד מחברת תוכנה Computest Security.

אבטחת סייבר וניהול סיכונים, בתוךתחרות האקרים Pwn2Own 2021, מאורגנת על ידי יוזמת Zero Day. אמנם לא ידועים פרטים רבים על הפגיעויות, אבל בעצם החוקרים השתמשו בשרשרת של שלושה באגים בגרסת שולחן העבודה של זום כדי לבצע ניצול של ביצוע קוד מרחוק במערכת היעד.

המשתמש לא היה צריך ללחוץ על שום דבר כדי שהמתקפה תצליח להשתלט על המחשב שלו. השגיאה מוצגת בפעולה למטה.

אנחנו עדיין מאשרים את הפרטים של ניצול #Zoom עם דיין ות'יס, אבל הנה GIF טוב יותר של הבאג בפעולה. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW

- יוזמת יום האפס (@thezdi) 7 באפריל 2021

לפי MalwareBytes Labs, ההתקפה חייבת להגיעמאיש קשר חיצוני מקובל או להיות חלק מאותו חשבון ארגון. זה השפיע גם על Zoom Chat, פלטפורמת ההודעות של החברה, אך לא השפיע על הצ'אט במהלך הפגישות בפגישות זום ובסמינרים מקוונים של וידאו של Zoom.

קופר ואלקמה זכו ב-200 דולר על הגילוי שלהם000. זו הייתה הפעם הראשונה שהתחרות הציגה קטגוריית תקשורת ארגונית - בהתחשב במגיפה, אין זה מפתיע מדוע זום הייתה משתתפת ונותנת חסות לאירוע.

בהודעה שהודיעה על ניצחונם של קופר ואלקוומייד, החברהComputest דיווחה כי החוקרים הצליחו להשתלט כמעט לחלוטין על מערכות היעד, לבצע פעולות כמו הפעלת המצלמה, ביטול השתקת המיקרופון, קריאת דואר אלקטרוני, בדיקת המסך והורדת היסטוריית הדפדפן.

זום עלה לכותרות בשנה שעברהבגלל פגיעות שונות. עם זאת, הדבר נגע בעיקר לאבטחת היישום עצמו, כמו גם ליכולת לצפות ולהאזין יחד עם שיחות וידאו. התגליות שלנו חמורות עוד יותר. הפגיעות בלקוח אפשרו לנו להשתלט על המערכת כולה מהמשתמשים, "אמר קופר בהצהרה.

ראה גם:

- קרינה אינפרא-אדום מידי אדם שימשה להצפנה

- יצר את המפה המדויקת הראשונה בעולם. מה רע בכולם?

- בעמק המוות נמצאו חיידקים שהיו בסטגנציה אבולוציונית במשך מיליוני שנים