Ievainojamības atklāja programmatūras uzņēmuma Computest Security pētnieki Daan Keuper un Thijs Alkemade.
Lietotājam nekas nebija jāklikšķina, lai uzbrukums veiksmīgi pārņemtu viņa datoru. Kļūda ir parādīta tālāk esošajā darbībā.
Mēs joprojām apstiprinām informāciju par #Zoom ekspluatāciju ar Daanu un Thijs, taču šeit ir labāks gif par kļūdu darbībā. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW
- Zero Day Initiative (@thezdi) 2021. gada 7. aprīlis
Saskaņā ar MalwareBytes Labs teikto, uzbrukumam ir jānāk nono pieņemtas ārējās kontaktpersonas vai būt daļai no tā paša organizācijas konta. Tas ietekmēja arī Zoom Chat, uzņēmuma ziņojumapmaiņas platformu, taču neietekmēja sesijas tērzēšanu Zoom sapulcēs un Zoom video tīmekļsemināros.
Keuper un Alkemad ieguva $ 200 par savu atklājumu000. Šī bija pirmā reize, kad konkursā tika iekļauta korporatīvās komunikācijas kategorija — ņemot vērā pandēmiju, nav pārsteigums, kāpēc Zoom bija pasākuma dalībnieks un sponsors.
Paziņojumā, kurā tika paziņots par Kūpera un Alquemade uzvaru, uzņēmumsComputest ziņoja, ka pētnieki varēja gandrīz pilnībā kontrolēt mērķa sistēmas, veicot tādas darbības kā kameras ieslēgšana, mikrofona izslēgšana, e-pasta lasīšana, ekrāna pārbaude un pārlūkprogrammas vēstures lejupielāde.
Zoom pagājušajā gadā iekļuva virsrakstosdažādu ievainojamību dēļ. Tomēr tas galvenokārt attiecās uz pašas lietojumprogrammas drošību, kā arī iespēju skatīt un klausīties kopā ar videozvaniem. Mūsu atklājumi ir vēl nopietnāki. Klienta ievainojamība ļāva mums pārņemt no lietotājiem visu sistēmu, ”teikts Kūpera paziņojumā.
Skatiet arī:
- Šifrēšanai tika izmantots cilvēka roku infrasarkanais starojums
- Izveidoja pirmo precīzo pasaules karti. Kas vainas visiem pārējiem?
- Nāves ielejā tika atrastas baktērijas, kuras evolūcijas stagnācijā bija miljoniem gadu