Sårbarhetene ble oppdaget av forskerne Daan Keuper og Thijs Alkemade fra Computest Security, et programvareselskap
Brukeren trengte ikke å klikke på noe for at angrepet skulle overta datamaskinen. Feilen vises i handlingen nedenfor.
Vi bekrefter fortsatt detaljene i #Zoom-utnyttelsen med Daan og Thijs, men her er en bedre gif av feilen i aksjon. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW
- Zero Day Initiative (@thezdi) 7. april 2021
Ifølge MalwareBytes Labs skal angrepet komme frafra en akseptert ekstern kontakt eller være en del av samme organisasjonskonto. Dette påvirket også Zoom Chat, selskapets meldingsplattform, men påvirket ikke chat under økter i Zoom-møter og Zoom-videowebinarer.
Keuper og Alkemad vant $200 for oppdagelsen deres000. Dette var første gang konkurransen inneholdt en Corporate Communications-kategori – gitt pandemien er det ingen overraskelse at Zoom var deltaker og sponsor av arrangementet.
I en uttalelse som kunngjorde Cooper og Alquemades seier, sier selskapetComputest rapporterte at forskerne var i stand til å ta nesten fullstendig kontroll over målsystemene, utføre handlinger som å slå på kameraet, slå på mikrofonen, lese e-post, sjekke skjermen og laste ned nettleserhistorikk.
Zoom skapte overskrifter i fjorpå grunn av ulike sårbarheter. Dette gjaldt imidlertid hovedsakelig sikkerheten til selve applikasjonen, samt muligheten til å se og lytte sammen med videosamtaler. Våre funn er enda mer alvorlige. Sårbarhetene i klienten tillot oss å overta hele systemet fra brukere, ”sa Keuper i en uttalelse.
Se også:
- Infrarød stråling fra menneskelige hender ble brukt til kryptering
- Lag det første nøyaktige kartet over verden. Hva er galt med alle andre?
- I Death Valley ble det funnet bakterier som var i evolusjonær stagnasjon i millioner av år