Güvenlik açıkları, bir yazılım şirketi olan Computest Security'den araştırmacılar Daan Keuper ve Thijs Alkemade tarafından keşfedildi.
Saldırının bilgisayarını başarılı bir şekilde ele geçirmesi için kullanıcının herhangi bir şeye tıklaması gerekmiyordu. Hata aşağıdaki eylemde gösterilmektedir.
Daan ve Thijs ile #Zoom saldırısının ayrıntılarını hâlâ doğruluyoruz, ancak işte hatanın işleyişini gösteren daha iyi bir gif. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW
- Zero Day Initiative (@thezdi) 7 Nisan 2021
MalwareBytes Labs'e göre saldırının kaynağı olmalıkabul edilen bir harici kişiden veya aynı kuruluş hesabının parçası olun. Bu aynı zamanda şirketin mesajlaşma platformu Zoom Chat'i de etkiledi ancak Zoom toplantılarındaki ve Zoom video web seminerlerindeki oturum içi sohbeti etkilemedi.
Keuper ve Alkemad keşiflerinden dolayı 200 dolar kazandı000. Yarışmada ilk kez Kurumsal İletişim kategorisi yer aldı. Salgın göz önüne alındığında, Zoom'un etkinliğin katılımcısı ve sponsoru olması şaşırtıcı değil.
Şirket, Cooper ve Alquemade'in zaferini duyuran bir açıklamadaComputest, araştırmacıların kamerayı açma, mikrofonun sesini açma, e-posta okuma, ekranı kontrol etme ve tarayıcı geçmişini indirme gibi eylemleri gerçekleştirerek hedef sistemlerin neredeyse tamamını kontrol altına alabildiğini bildirdi.
Zoom geçen yıl manşetlere çıktıçeşitli güvenlik açıklarından dolayı. Bununla birlikte, bu esas olarak uygulamanın kendisinin güvenliğinin yanı sıra görüntülü görüşmelerle birlikte görüntüleme ve dinleme olasılığıyla ilgiliydi. Keşiflerimiz daha da ciddidir. Keuper yaptığı açıklamada, istemcideki güvenlik açıkları tüm sistemi kullanıcılardan devralmamıza izin verdi ”dedi.
Ayrıca bakınız:
- Şifreleme için insan elinden gelen kızılötesi radyasyon kullanıldı
- Dünyanın ilk doğru haritasını oluşturdu. Herkesin nesi var?
- Ölüm Vadisi'nde milyonlarca yıldır evrimsel durgunluk içinde olan bakteriler bulundu