As vulnerabilidades foram descobertas pelos pesquisadores Daan Keuper e Thijs Alkemade da Computest Security, uma empresa de software
O usuário não precisou clicar em nada para que o ataque assumisse o controle do computador com sucesso. O erro é mostrado na ação abaixo.
Ainda estamos confirmando os detalhes do exploit #Zoom com Daan e Thijs, mas aqui está um gif melhor do bug em ação. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW
- Zero Day Initiative (@thezdi) 7 de abril de 2021
De acordo com o MalwareBytes Labs, o ataque deve vir dede um contato externo aceito ou fazer parte da mesma conta da organização. Isso também afetou o Zoom Chat, a plataforma de mensagens da empresa, mas não afetou o bate-papo durante a sessão em reuniões Zoom e webinars de vídeo Zoom.
Keuper e Alkemad ganharam US$ 200 por sua descoberta000. Esta foi a primeira vez que a competição contou com a categoria Comunicação Corporativa – dada a pandemia, não é surpresa que a Zoom tenha participado e patrocinador do evento.
Em comunicado anunciando a vitória de Cooper e Alquemade, a empresaA Computest relatou que os pesquisadores conseguiram assumir o controle quase total dos sistemas alvo, realizando ações como ligar a câmera, ativar o som do microfone, ler e-mails, verificar a tela e baixar o histórico do navegador.
Zoom foi manchete no ano passadodevido a várias vulnerabilidades. No entanto, isso dizia respeito principalmente à segurança do próprio aplicativo, bem como à possibilidade de ver e ouvir junto com as videochamadas. Nossas descobertas são ainda mais sérias. As vulnerabilidades no cliente nos permitiram assumir todo o sistema dos usuários ”, disse Keuper em um comunicado.
Veja também:
- A radiação infravermelha de mãos humanas foi usada para criptografar
- Criou o primeiro mapa preciso do mundo. O que há de errado com todo mundo?
- No Vale da Morte, foram encontradas bactérias que estavam em estagnação evolutiva por milhões de anos