ช่องโหว่ดังกล่าวถูกค้นพบโดยนักวิจัย Daan Keuper และ Thijs Alkemade จาก Computest Security ซึ่งเป็นบริษัทซอฟต์แวร์
ผู้ใช้ไม่จำเป็นต้องคลิกอะไรเลยเพื่อให้การโจมตีเข้ายึดคอมพิวเตอร์ได้สำเร็จ ข้อผิดพลาดแสดงอยู่ในการดำเนินการด้านล่าง
เรายังคงยืนยันรายละเอียดของการหาประโยชน์ #Zoom กับ Daan และ Thijs แต่นี่เป็น gif ที่ดีกว่าของข้อบกพร่องในการดำเนินการ #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW
- Zero Day Initiative (@thezdi) 7 เมษายน 2564
จากข้อมูลของ MalwareBytes Labs การโจมตีจะต้องมาจากจากผู้ติดต่อภายนอกที่ยอมรับหรือเป็นส่วนหนึ่งของบัญชีองค์กรเดียวกัน สิ่งนี้ยังส่งผลต่อ Zoom Chat ซึ่งเป็นแพลตฟอร์มการรับส่งข้อความของบริษัท แต่ไม่ส่งผลกระทบต่อการแชทในเซสชันในการประชุม Zoom และการสัมมนาทางเว็บผ่านวิดีโอของ Zoom
Keuper และ Alkemad ได้รับรางวัล 200 ดอลลาร์จากการค้นพบของพวกเขา000 นี่เป็นครั้งแรกที่การแข่งขันนำเสนอหมวดหมู่การสื่อสารองค์กร เนื่องจากการแพร่ระบาด จึงไม่น่าแปลกใจเลยว่าทำไม Zoom จึงเป็นผู้เข้าร่วมและเป็นผู้สนับสนุนกิจกรรม
ในแถลงการณ์ประกาศชัยชนะของบริษัท Cooper และ AlquemadeComputest รายงานว่านักวิจัยสามารถควบคุมระบบเป้าหมายได้เกือบทั้งหมด โดยดำเนินการต่างๆ เช่น การเปิดกล้อง การเปิดเสียงไมโครโฟน อ่านอีเมล ตรวจสอบหน้าจอ และดาวน์โหลดประวัติเบราว์เซอร์
ซูมได้พาดหัวข่าวเมื่อปีที่แล้วเนื่องจากช่องโหว่ต่างๆ อย่างไรก็ตามสิ่งนี้เกี่ยวข้องกับความปลอดภัยของแอปพลิเคชันเป็นหลักเช่นเดียวกับความสามารถในการดูและฟังพร้อมกับแฮงเอาท์วิดีโอ การค้นพบของเราร้ายแรงยิ่งขึ้น ช่องโหว่ในไคลเอนต์ทำให้เราสามารถยึดระบบทั้งหมดจากผู้ใช้” Keuper กล่าวในแถลงการณ์
ดูเพิ่มเติมที่:
- มีการใช้รังสีอินฟราเรดจากมือมนุษย์ในการเข้ารหัส
- สร้างแผนที่ที่แม่นยำแห่งแรกของโลก คนอื่นผิดอะไร
- ในเด ธ วัลเล่ย์พบแบคทีเรียที่อยู่ในสภาวะชะงักงันของวิวัฒนาการเป็นเวลาหลายล้านปี