この脆弱性は、ソフトウェア会社 Computest Security の研究者 Daan Keuper 氏と Thijs Alkemade 氏によって発見されました。
ユーザーは何もクリックする必要がなく、攻撃によってコンピュータが乗っ取られました。エラーは以下のアクションに示されています。
#Zoom エクスプロイトの詳細についてはまだ Daan 氏と Thijs 氏に確認中ですが、動作中のバグを示すより良い gif は次のとおりです。 #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW
-ゼロデイイニシアチブ(@thezdi)2021年4月7日
MalwareBytes Labs によると、攻撃は次からのものであると考えられます。承認された外部連絡先からのもの、または同じ組織アカウントの一部であること。これは同社のメッセージングプラットフォームであるZoom Chatにも影響したが、ZoomミーティングやZoomビデオウェビナーのセッション内チャットには影響しなかった。
カイパーとアルケマドは発見に対して 200 ドルを獲得しましたこのコンテストで企業コミュニケーション部門が取り上げられたのはこれが初めてでした。パンデミックを考慮すると、Zoom がこのイベントの参加者およびスポンサーとなったのも不思議ではありません。
クーパー氏とアルケメイド氏の勝利を発表した声明の中で、同社は次のように述べている。Computest の報告によると、研究者らはターゲット システムをほぼ完全に制御し、カメラのオン、マイクのミュート解除、電子メールの読み取り、画面の確認、ブラウザ履歴のダウンロードなどの操作を実行できました。
ズームは昨年ヘッドラインを作りましたさまざまな脆弱性が原因です。ただし、これは主にアプリケーション自体のセキュリティと、ビデオ通話と一緒に視聴する可能性に関係していました。私たちの発見はさらに深刻です。クライアントの脆弱性により、ユーザーからシステム全体を引き継ぐことができました」とKeuper氏は声明で述べています。
また見なさい:
-暗号化には人間の手からの赤外線が使用されました
-世界初の正確な地図を作成しました。他のみんなの何が問題になっていますか?
-デスバレーでは、何百万年もの間進化的に停滞していたバクテリアが発見されました