En mycket allvarlig sårbarhet har hittats i appen för Zoom på Windows och macOS.
Sårbarheten gör att skadlig kod kan köras på den berörda datorn via fjärraktivering.
Lästips: Bättre säkerhet med Zoom – stöd för end-to-end-kryptering
Det är säkerhetsforskarna Daan Keuper och Thijs Alkemade från Computest som hittade sårbarheten i Zoom.
Sårbarheten identifierades under säkerhetstävlingen Pwn2own som är en så kallad White Hat-tävling för hackare.
I en demonstration visade Daan och Thijs hur de via en attackkedja i tre steg kunde fjärraktivera kod på en dator med Zoom installerad.
Några specifika detaljer har inte avslöjats om sårbarheten. Anledningen är att Zoom inte har fixat problemet i skrivande stund.
Klarlagt är dock att sårbarheten endast gäller Zoom Chat och INTE ZOom Meetings eller Zoom Video Webinars. Nämnvärt är också att hackaren måste vara en accepterad kontakt för att kunna attackera datorn.
Den som vill undvika sårbarheten helt tills Zoom har uppdaterat sin mjukvara kan använda webbläsarversionen istället.
Lästips: 500 000 Zoom-konton säljs på hackarforum
Sårbarheten är så allvarlig att säkerhetsforskarna belönades med totalt 200 000 USD, eller cirka 1,8 miljoner kronor.
FAQ
Pwn2Own är en hackertävling som organiseras Zero Day Initiative. Deltagarna utmanas att hitta sårbarheter i olika mjukvaror och prylar. Vinnarna får oftast behålla prylen de hackade samt motta en prissumma. Samtidigt får utvecklaren av berörd mjukvara en chans att fixa sårbarheten. Läs mer om Pwn2Own på Wikipedia här.
White Hat och Black Hat är två olika sätt att hitta, demonstrera och använda sårbarheter i prylar. En White Hat-hackare hittar sårbarheter i mjukvara med syftet att hjälpa och bidra till högre säkerhet. Black Hat-hackare däremot vill hitta och använda sårbarheter för eget bruk eller i skadligt syfte. Läs mer om White Hat vs Black Hat här.
