Пролом в настільній версії додатку для відеодзвінків Zoom дозволяє зловмисникам перехопити управління комп’ютером абсолютно незалежно від користувача, повідомляє Tom’s Guide.
Роботу експлойта продемонстрували два голландських дослідника безпеки Дан Койпер і Тейс Алкемаде з компанії Computest під час минулого днями хакерського конкурсу Pwn2Own. Комбінація з трьох вразливостей в Zoom забезпечила їм повний віддалений контроль над пристроєм жертви, з чиєї сторони не потрібно ніяких дій, окрім як запустити додаток.
У Twitter з’явилася гіфка, на якій на робочому столі раптово з’являється калькулятор – програма була викликана дослідниками в результаті злому комп’ютера.
Експлойтів схильна тільки версія Zoom для пристроїв на базі Windows і macOS – веб-клієнт як і раніше безпечний.
Як саме влаштований експлойт, дослідники не розповідають. Інформації про нього на сайті Zoom, який виступає одним із спонсорів змагання, немає. За правилами Pwn2Own, у розробників є 90 днів, щоб закрити виявлені учасниками баги.
За свою знахідку Койпер і Алкемаде отримали $ 200 тисяч.
У коментарі Tom’s Guide представники компанії відзначили, що вже працюють над виправленням. Уразливості стосуються тільки чатів Zoom і не зачіпають конференції та вебінари. Атака можлива лише в тому випадку, якщо жертва додала зловмисника в контакти або якщо вони користуються одним корпоративним аккаунтом.
Поки проблеми не усунуті, користувачам краще віддати перевагу веб-версії Zoom і не приймати запити в контакти від незнайомих людей.
