Уразливості були виявлені дослідниками Daan Keuper і Tijs Alkemade з компанії Computest Security, яка використовує
Користувачеві не потрібно було нічого натискати, щоб атака успішно захопила його комп'ютер.Помилка представлена в дії нижче.
Ми все ще підтверджуємо подробиці експлойту #Zoom з Daan і Thijs, але ось краща гіфка помилки в дії.#Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW
- Zero Day Initiative (@thezdi) April 7, 2021
За даними MalwareBytes Labs, атака має походити від отриманого зовнішнього контакту або бути частиною облікового запису тієї ж організації.Це також вплинуло на Zoom Chat, платформу обміну повідомленнями компанії, але не вплинуло на чат під час сеансуу Zoom-зустрічах та відеовебінарах Zoom.
Кеупері Алькемад виграв $200 000 за своє відкриття, що стало першим випадком, коли категорія «Корпоративні комунікації» була введена в конкурс – враховуючи пандемію, не дивно, чому Zoom був учасником і спонсором заходу.
У заяві, що оголошує про перемогу Купера та Alquemade, Computest заявила, що дослідники змогли майже повністю взяти під контроль цільові системи, виконуючи такі дії, як увімкнення камери, увімкнення мікрофона, читання електронних листів, перевірка екрана та завантаження історії браузера.
«В минулому році Zoom потрапив в заголовки газетчерез різні вразливостей. Однак в основному це стосувалося безпеки самого додатки, а також можливості перегляду і прослуховування разом з відеодзвінки. Наші відкриття ще серйозніше. Уразливості в клієнті дозволили нам перейняти у користувачів всю систему », - йдеться в заяві Кеупера.
Читайте також:
- Інфрачервоне випромінювання від рук людини використовували для шифрування
- Створено першу точна карта світу. Що не так з усіма іншими?
- У Долині Смерті знайшли бактерії, які перебували в еволюційному застої мільйони років