Luki w zabezpieczeniach zostały odkryte przez badaczy Daana Keupera i Tijsa Alkemade z Computest Security, firmy używającej
Użytkownik nie musiał niczego naciskać, aby atak skutecznie przejął kontrolę nad jego komputerem.Błąd jest przedstawiony w poniższej akcji.
Wciąż potwierdzamy szczegóły exploita #Zoom z Daanem i Thijsem, ale oto lepszy gif błędu w akcji.#Pwn2Own #PopCalc.twitter.com/nIdTwik9aW
- Zero Day Initiative (@thezdi) 7 kwietnia 2021 r
Według MalwareBytes Labs atak musi pochodzić od otrzymanego kontaktu zewnętrznego lub być częścią tego samego konta organizacji.Wpłynęło to również na Zoom Chat, platformę komunikacyjną firmy, ale nie wpłynęło na czat w sesjiw spotkaniach Zoom i webinariach wideo Zoom.
Keuperi Alkemad wygrał 200 000 USD za swoje otwarcie, co było pierwszym przypadkiem, w którym kategoria Komunikacja korporacyjna została wprowadzona do konkursu – biorąc pod uwagę pandemię, nic dziwnego, że Zoom był uczestnikiem i sponsorem wydarzenia.
W oświadczeniu ogłaszającym zwycięstwo Coopera i Alquemade, Computest powiedział, że naukowcy byli w stanie prawie całkowicie przejąć kontrolę nad docelowymi systemami, wykonując takie czynności, jak włączanie kamery, włączanie mikrofonu, czytanie e-maili, sprawdzanie ekranu i ładowanie historii przeglądarki.
Zoom trafił na pierwsze strony gazet w zeszłym rokuze względu na różne podatności. Dotyczyło to jednak głównie bezpieczeństwa samej aplikacji, a także możliwości przeglądania i odsłuchiwania wraz z rozmowami wideo. Nasze odkrycia są jeszcze poważniejsze. Luki w kliencie pozwoliły nam przejąć cały system od użytkowników ”- powiedział Keuper w oświadczeniu.
Zobacz także:
- Do szyfrowania wykorzystano promieniowanie podczerwone z ludzkich rąk
- Stworzono pierwszą dokładną mapę świata. Co jest nie tak ze wszystkimi innymi?
- W Dolinie Śmierci znaleziono bakterie, które znajdowały się w ewolucyjnej stagnacji przez miliony lat