Безопасность Zoom снова под вопросом

Этичные хакеры захватили систему с установленным клиентом сервиса видеоконференцсвязи. Фото: Pixabay

Этичные хакеры Даан Кеупер и Тийс Алкемад из CompuTest Security продемонстрировали свой эксплойт на хакерском конкурсе Pwn2Own и получили награду за ошибку в размере 200 тыс. долларов от службы видеоконференцсвязи, пишет TechRadar.

Читайте в тему:

• Facebook не планирует сообщать, входите ли вы в число пользователей, чьи данные украли.
• VMware расширяет защиту облачных рабочих нагрузок для контейнеров и Kubernetes.
• Windows 10 21H2 заблокирует компьютер, если не увидит вас возле него.

Комментируя эксплойт, Кеупер сказал, что, хотя ранее уязвимости Zoom позволяли злоумышленникам проникать в вызовы, их эксплойт был намного более серьёзным, поскольку он позволяет злоумышленникам захватить всю систему. 

Этичные хакеры связали три уязвимости в мессенджере Zoom, чтобы добиться результата. 

Ещё более тревожным является тот факт, что они смогли захватить удалённую систему, на которой запущен клиент Zoom, без какого-либо вмешательства со стороны жертвы; эксплойт не требовал от жертвы переходить по ссылкам или открывать вложения.

После успеха дуэт получил почти полный контроль над удалённым компьютером. Они продемонстрировали несколько действий, таких как переключение веб-камеры и микрофона, ,чтение электронной почты и загрузка истории браузера своей жертвы.

«Мы очень серьёзно относимся к безопасности и высоко ценим исследования Computest. Мы работаем над устранением этой проблемы в отношении Zoom Chat, нашего продукта для групповых сообщений. Эта проблема не затрагивает сеанс чата в Zoom Meetings и Zoom Video Webinars. Атака также должна исходить от принятого внешнего контакта или быть частью той же учётной записи организации. В качестве наилучшей практики Zoom рекомендует, чтобы все пользователи принимали запросы на контакт только от лиц, которых они знают и которым доверяют. Если вы думаете, что нашли проблема безопасности продуктов Zoom, отправьте подробный отчёт в нашу Программу раскрытия уязвимостей в нашем Центре управления безопасностью ». — прокомментировал факт взлома сервиса представитель Zoom .

Как сообщал Startpack, первыми на хакерском конкурсе были взломаны Microsoft Windows 10, Exchange и Teams.

Startpack также подготовил список VPN-сервисов (Virtual Private Network). VPN предлагает дополнительный уровень безопасности, шифруя все данные, например, IP-адреса, которые передаются по сети. Это обеспечивает анонимность пользователя в сети и предотвращает утечку конфиденциальных бизнес-данных.

Особая рекомендация: Proton VPN — высокоскоростной швейцарский VPN, который гарантирует конфиденциальность пользовательских данных.

Полезная новость? Прокомментируйте её или кликните на значок "+" ниже!