Riesiger Zoom-Fehler lässt Hacker Ihren Mac oder PC vollständig übernehmen [aktualisiert]

(Bildnachweis: Shutterstock)

Aktualisiert mit Kommentar von Zoom.

beste Streaming-Kamera für PC

Es gibt einen brandneuen Fehler in Zoom, der es einem Hacker ermöglicht, Ihren PC oder Mac vollständig zu übernehmen, während Sie nur daneben sitzen und zusehen – aber bisher wissen nur eine Handvoll Leute, wie es funktioniert.



  • Black Friday-Angebote: Sehen Sie sich jetzt die besten Angebote an!

Zwei dieser Personen sind die niederländischen Sicherheitsforscher Daan Keuper und Thijs Alkemade, die gestern (7 Pwn2Owner Hacking-Wettbewerb .

Tatsächlich haben Keuper und Alkemade drei verschiedene Fehler – von denen einige möglicherweise bereits bekannt waren – miteinander verkettet, um eine vollständige Fernsteuerung eines PCs über die Zoom-Desktopanwendung zu erhalten. Ihr Exploit erforderte keine Benutzerinteraktion, außer dass die Zoom-App ausgeführt wurde.

Hier ist ein Tweet des Pwn2Own-Wettbewerbs, der eine Animation des Hacks in Aktion zeigt. Der plötzliche Start der Taschenrechner-App zeigt, dass die Forscher die Kontrolle über die Maschine erlangt haben. Aber die Animation gibt keinen Hinweis darauf, wie Keuper und Alkemade es geschafft haben.

Mehr sehen

Der Exploit funktioniert auch auf dem Zoom-Desktop-Client für Mac, erklärte der Malwarebytes-Forscher Pieter Arntz in einem Blogbeitrag. Die Browserversion des Zoom-Meeting-Clients ist jedoch nicht betroffen.

Fall für Google Pixel 4a

Zoom selbst ist ein Hauptsponsor des diesjährigen Pwn2Own-Wettbewerbs. Auf der Zoom-Website wurde der Exploit noch nicht erwähnt, aber wir können ziemlich sicher sein, dass die eigenen Leute von Zoom daran arbeiten, diesen Fehler so schnell wie möglich zu beheben. Nach den Pwn2Own-Regeln haben Softwareentwickler 90 Tage Zeit, um während des Wettbewerbs aufgedeckte Fehler zu beheben.

Für ihre Mühen erhielten Keuper und Alkemade 200.000 US-Dollar, zweifellos eine schöne Ergänzung zu ihrem Tagesjob bei der niederländischen Cybersicherheitsfirma Computest.

beste arbeit von zu hause stuhl

Solange Keuper, Alkemade und das Zoom-Sicherheitsteam die Funktionsweise dieses Exploits nicht genau kennen, besteht kaum eine Chance, dass Hacker damit Computer kapern, auf denen Zoom ausgeführt wird.

Was du tun kannst

Wenn Sie vorerst auf Nummer sicher gehen möchten, verwenden Sie die Zoom-Browseroberfläche anstelle des Zoom-Desktop-Clients. (Zoom fordert Sie auf, die Desktop-App zu installieren, wenn Sie online an einem Meeting teilnehmen, aber Sie können dies ignorieren.)

Der Pwn2Own-Wettbewerb, der jetzt vom Zero-Day-Initiative-Team von Trend Micro durchgeführt wird, läuft seit 2007.

White-Hat-Hacker erhalten Standardmaschinen und Software, die alle vollständig gepatcht sind, und müssen ihre Exploits in Echtzeit vor einem Live-Publikum demonstrieren. Die Gewinner müssen ihre Methoden privat mit den Entwicklern der Software teilen, die sie gehackt haben.

Update: Zoom-Statement

Zoom hat sich nach der ersten Veröffentlichung dieser Geschichte an uns gewandt, um diese Aussage zu machen:

s21 vs s21 plus spezifikationen

„Wir danken der Zero Day Initiative dafür, dass sie es uns ermöglicht hat, Pwn2Own Vancouver 2021 zu sponsern und daran teilzunehmen, einer Veranstaltung, die die kritische und geschickte Arbeit von Sicherheitsforschern hervorhebt. Wir nehmen Sicherheit sehr ernst und schätzen die Forschung von Computest sehr.

Wir arbeiten daran, dieses Problem in Bezug auf Zoom Chat, unser Gruppennachrichtenprodukt, zu mildern. Der In-Session-Chat in Zoom-Meetings und Zoom-Video-Webinaren ist von dem Problem nicht betroffen. Der Angriff muss auch von einem akzeptierten externen Kontakt ausgehen oder Teil des gleichen Unternehmenskontos des Ziels sein.

Als Best Practice empfiehlt Zoom, dass alle Benutzer nur Kontaktanfragen von Personen annehmen, die sie kennen und denen sie vertrauen. Wenn Sie glauben, ein Sicherheitsproblem bei Zoom-Produkten gefunden zu haben, senden Sie bitte einen detaillierten Bericht an unser Programm zur Offenlegung von Sicherheitslücken in unserem Trust Center.'

Die besten Lenovo ThinkPad X13-Angebote von heuteBlack Friday Sale endet in02Tage08StdfünfzigMinuten13trockenReduzierter Preis Neuestes Lenovo ThinkPad X13... Amazonas 949,99 $ $ 899,99 Sicht ThinkPad X13 Intel (13) -... Lenovo USA 1.004,50 $ Sicht Reduzierter Preis Lenovo ThinkPad X13 Intel... Walmart 2.426 $ 1.091,70 $ Sicht Schau dir mehr an Black Friday Sale Angebote bei Amazonas Walmart Bester Kauf Dell Wir prüfen täglich über 250 Millionen Produkte auf die besten Preise