ผู้เชี่ยวชาญพบช่องโหว่ของ Zoom ที่ทำให้คุณสามารถจี้คอมพิวเตอร์ได้โดยไม่ต้องคลิกเพียงครั้งเดียว

ช่องโหว่ดังกล่าวถูกค้นพบโดยนักวิจัย Daan Keuper และ Thijs Alkemade จาก Computest Security ซึ่งเป็นบริษัทซอฟต์แวร์

ความปลอดภัยทางไซเบอร์และการบริหารความเสี่ยงภายในการแข่งขันแฮกเกอร์ Pwn2Own 2021 จัดโดย Zero Day Initiative แม้ว่าจะไม่ทราบรายละเอียดมากนักเกี่ยวกับช่องโหว่ แต่โดยพื้นฐานแล้วนักวิจัยได้ใช้จุดบกพร่องสามจุดใน Zoom เวอร์ชันเดสก์ท็อปเพื่อดำเนินการใช้ประโยชน์จากการเรียกใช้โค้ดจากระยะไกลบนระบบเป้าหมาย

ผู้ใช้ไม่จำเป็นต้องคลิกอะไรเลยเพื่อให้การโจมตีเข้ายึดคอมพิวเตอร์ได้สำเร็จ ข้อผิดพลาดแสดงอยู่ในการดำเนินการด้านล่าง

จากข้อมูลของ MalwareBytes Labs การโจมตีจะต้องมาจากจากผู้ติดต่อภายนอกที่ยอมรับหรือเป็นส่วนหนึ่งของบัญชีองค์กรเดียวกัน สิ่งนี้ยังส่งผลต่อ Zoom Chat ซึ่งเป็นแพลตฟอร์มการรับส่งข้อความของบริษัท แต่ไม่ส่งผลกระทบต่อการแชทในเซสชันในการประชุม Zoom และการสัมมนาทางเว็บผ่านวิดีโอของ Zoom

Keuper และ Alkemad ได้รับรางวัล 200 ดอลลาร์จากการค้นพบของพวกเขา000 นี่เป็นครั้งแรกที่การแข่งขันนำเสนอหมวดหมู่การสื่อสารองค์กร เนื่องจากการแพร่ระบาด จึงไม่น่าแปลกใจเลยว่าทำไม Zoom จึงเป็นผู้เข้าร่วมและเป็นผู้สนับสนุนกิจกรรม

ในแถลงการณ์ประกาศชัยชนะของบริษัท Cooper และ AlquemadeComputest รายงานว่านักวิจัยสามารถควบคุมระบบเป้าหมายได้เกือบทั้งหมด โดยดำเนินการต่างๆ เช่น การเปิดกล้อง การเปิดเสียงไมโครโฟน อ่านอีเมล ตรวจสอบหน้าจอ และดาวน์โหลดประวัติเบราว์เซอร์

ซูมได้พาดหัวข่าวเมื่อปีที่แล้วเนื่องจากช่องโหว่ต่างๆ อย่างไรก็ตามสิ่งนี้เกี่ยวข้องกับความปลอดภัยของแอปพลิเคชันเป็นหลักเช่นเดียวกับความสามารถในการดูและฟังพร้อมกับแฮงเอาท์วิดีโอ การค้นพบของเราร้ายแรงยิ่งขึ้น ช่องโหว่ในไคลเอนต์ทำให้เราสามารถยึดระบบทั้งหมดจากผู้ใช้” Keuper กล่าวในแถลงการณ์

ดูเพิ่มเติมที่:

- มีการใช้รังสีอินฟราเรดจากมือมนุษย์ในการเข้ารหัส

- สร้างแผนที่ที่แม่นยำแห่งแรกของโลก คนอื่นผิดอะไร

- ในเด ธ วัลเล่ย์พบแบคทีเรียที่อยู่ในสภาวะชะงักงันของวิวัฒนาการเป็นเวลาหลายล้านปี