Уразливість в Zoom дає хакерам повний контроль над комп’ютерами з Windows і macOS

Пролом в настільній версії додатку для відеодзвінків Zoom дозволяє зловмисникам перехопити управління комп’ютером абсолютно незалежно від користувача, повідомляє Tom’s Guide.

Роботу експлойта продемонстрували два голландських дослідника безпеки Дан Койпер і Тейс Алкемаде з компанії Computest під час минулого днями хакерського конкурсу Pwn2Own. Комбінація з трьох вразливостей в Zoom забезпечила їм повний віддалений контроль над пристроєм жертви, з чиєї сторони не потрібно ніяких дій, окрім як запустити додаток.

У Twitter з’явилася гіфка, на якій на робочому столі раптово з’являється калькулятор – програма була викликана дослідниками в результаті злому комп’ютера.

Експлойтів схильна тільки версія Zoom для пристроїв на базі Windows і macOS – веб-клієнт як і раніше безпечний.

Як саме влаштований експлойт, дослідники не розповідають. Інформації про нього на сайті Zoom, який виступає одним із спонсорів змагання, немає. За правилами Pwn2Own, у розробників є 90 днів, щоб закрити виявлені учасниками баги.

За свою знахідку Койпер і Алкемаде отримали $ 200 тисяч.

У коментарі Tom’s Guide представники компанії відзначили, що вже працюють над виправленням. Уразливості стосуються тільки чатів Zoom і не зачіпають конференції та вебінари. Атака можлива лише в тому випадку, якщо жертва додала зловмисника в контакти або якщо вони користуються одним корпоративним аккаунтом.

Поки проблеми не усунуті, користувачам краще віддати перевагу веб-версії Zoom і не приймати запити в контакти від незнайомих людей.