Pažeidžiamumą aptiko tyrėjai Daanas Keuperis ir Thijs Alkemade iš „Computest Security“, programinės įrangos įmonės.
Vartotojui nereikėjo nieko spustelėti, kad ataka sėkmingai perimtų jo kompiuterį. Klaida parodyta toliau pateiktame veiksme.
Mes vis dar patvirtiname #Zoom išnaudojimo detales su Daanu ir Thijsu, bet čia yra geresnis veikimo trikties gifas. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW
- Nulio dienos iniciatyva (@ thezdi) 2021 m. Balandžio 7 d
„MalwareBytes Labs“ teigimu, ataka turi kilti išiš priimto išorinio kontakto arba būti tos pačios organizacijos paskyros dalimi. Tai taip pat paveikė „Zoom Chat“, bendrovės pranešimų platformą, tačiau neturėjo įtakos pokalbiams sesijos metu „Zoom“ susitikimuose ir „Zoom“ vaizdo seminaruose.
Keuperis ir Alkemadas už savo atradimą laimėjo 200 USD000. Tai buvo pirmas kartas, kai konkurse buvo pristatyta įmonių komunikacijos kategorija – atsižvelgiant į pandemiją, nenuostabu, kodėl Zoom buvo renginio dalyvis ir rėmėjas.
Pareiškime, skelbiančiame Cooper ir Alquemade pergalę, bendrovė„Computest“ pranešė, kad mokslininkai sugebėjo beveik visiškai valdyti tikslines sistemas, atlikdami tokius veiksmus kaip kameros įjungimas, mikrofono išjungimas, el. laiškų skaitymas, ekrano tikrinimas ir naršyklės istorijos atsisiuntimas.
Praėjusiais metais „Zoom“ pateko į antraštesdėl įvairių pažeidžiamumų. Tačiau tai daugiausia lėmė pačios programos saugumą, taip pat galimybę žiūrėti ir klausytis kartu su vaizdo skambučiais. Mūsų atradimai yra dar rimtesni. Kliento pažeidžiamumas leido mums perimti visą sistemą iš vartotojų “, - sakoma Keuperio pranešime.
Taip pat žiūrėkite:
- Šifravimui buvo naudojama žmogaus rankų infraraudonoji spinduliuotė
- Sukūrė pirmąjį tikslų pasaulio žemėlapį. Kas negerai visiems kitiems?
- Mirties slėnyje buvo rasta bakterijų, kurios evoliucijoje stagnavo milijonus metų