Chyba v aplikaci Zoom hackerům umožní převzít kontrolu nad PC

Pandemie koronaviru přinesla do života lidí řadu změn a jednou z nich je častější komunikace online. Z výrazného nárůstu počtu videokonferencí těžila také platforma Zoom, která vloni zaznamenala několikanásobný nárůst tržeb i počtu uživatelů. Zoom je používán pro komunikaci ve firmách a dalších institucích, ale také při online výuce ve školách. Několikrát se ovšem ukázalo, že zabezpečení služby má vážné trhliny. Naposledy tento týden, kdy dvojice hackerů z Nizozemska objevila velmi závažnou chybu v desktopové aplikaci Zoom.

 

 

Naštěstí se ovšem jednalo o tzv. etické hackery, kteří svou práci dělají s cílem pomoci dané společnosti a ochránit ostatní uživatele. Daan Keuper a Thijs Alkemade prezentovali svůj objev v rámci hackerské soutěže Pwn2Own. Vysloužili si přitom tučnou odměnu 200 tisíc dolarů (asi 4,3 miliony korun), která svědčí o závažnosti nalezené chyby. Pro svůj trik využili kombinaci tří problémů aplikace Zoom, z nichž některé byly známy již dříve. Výsledkem byl vzdálený přístup do počítače oběti, a to skoro bez jakékoliv její interakce. Napadený uživatel tedy nemusel kliknout na žádný škodlivý odkaz, stačila spuštěná aplikace a hovor přes Zoom.

 

Útok je možné využít v desktopovém klientu pro Windows nebo Mac. Postiženy jsou údajně všechny již vydané verze aplikace. Není jasné, zda stejnými chybami netrpí také mobilní aplikace pro Android a iOS. Vzdálené spuštění kódu (RCS) umožní hackerovi získat prakticky úplnou kontrolu nad počítačem včetně ovládání webkamery a mikrofonu, spouštění programů, sledování plochy nebo přístup k soukromým souborům. Vzhledem k tomu, že se jedná o „zero-day“ zranitelnost, pro kterou zatím neexistuje žádná oprava, nebyly zveřejněny podrobnosti o útoku.

 

We're still confirming the details of the #Zoom exploit with Daan and Thijs, but here's a better gif of the bug in action. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW

— Zero Day Initiative (@thezdi) April 7, 2021

 

Bezpečnostní chybu se nejspíš dosud nepodařilo zneužít nikomu se zlými úmysly. Nezbývá než doufat, že to tak zůstane do vydání záplaty. Vývojáři nyní mají 90 dnů na opravu, potom budou zveřejněny podrobnosti o chybě. Pokud chcete mít jistotu, používejte raději Zoom ve webovém prohlížeči a nikoliv desktopovou aplikaci. Americká společnost uvedla, že problém se týká pouze aplikace Zoom Chat, nikoliv Zoom Meetings nebo Zoom Video Webinars. Útok musí pocházet z přijatého externího kontaktu nebo být součástí stejné organizace. Není tedy doporučeno přijímat žádosti od kontaktů, které neznáte.

 

Připomeňme, že před rokem se službou Zoom kvůli nedostatečnému zabezpečení zabývaly i americké úřady. V létě byla objevena chyba, díky které mohli útočníci spustit webkamera na Macu bez vědomí uživatele. Vývojáři sice přidali řadu vylepšení včetně end-to-end šifrování, ale problémy evidentně stále přetrvávají.

 

Zdroj: Blog.malwarebytes.com, Tomsguide.com