Zoom a jeho otrasné zabezpečenie: Bývalý hacker odhaľuje ďalšie dve kritické chyby
Nočná mora služby Zoom pokračuje. Bývalý hacker NSA v nej objavil zraniteľnosti, ktoré umožnia útočníkovi prevziať kontrolu nad webkamerou či mikrofónom počítača.
Popularita videokonferenčnej služby Zoom závratne stúpla v aktuálnych časoch domácich karantén a nariadených prác z domu. Spolu s popularitou sa však objavili aj nepríjemnosti, ktoré poukazujú na problémy služby s ochranou osobných údajov a bezpečnosťou. Problémy ešte viac vykreslila existencia automatizovaného nástroja, ktorý dokáže skenovať heslom nechránené videokonferencie.
Ako informuje DailyMail, pri vyššie uvedených problémoch však nočná mora Zoom nekončí. Patrick Wardle, bývalý hacker NSA a aktuálne hlavný výskumný pracovník v oblasti bezpečnosti v spoločnosti Jamf, odhalil 2 bezpečnostné zraniteľnosti služby, ktoré napríklad umožnia hackerovi prevziať kontrolu nad webkamerou či mikrofónom počítača.
Útočník potrebuje fyzický prístup k zariadeniu
Ako bližšie špecifikuje TechCrunch, zraniteľnosti je možné zneužiť v prípade lokálneho, respektíve fyzického prístupu k počítaču so systémom MacOS. Po zneužití môže útočník získať a neskôr aj udržiavať trvalý prístup k vnútornému systému počítača obete, čo mu umožňuje nainštalovať malvér alebo spyware bez toho, aby bol odhalený.
New: Just when you thought things couldn't get any worse for Zoom, an ex-NSA hacker just dropped two Zoom zero-days on his blog. One of the bugs can allow an attacker to tap into the webcam and microphone without permission.https://t.co/5HXxki9JOb
— Zack Whittaker (@zackwhittaker) April 1, 2020
Prvá zraniteľnosť vyplýva z faktu, že Zoom používa na inštaláciu aplikácie pre systémy MacOS techniku, ktorá si nevyžaduje interakciu používateľa. Rovnaká technika je však využívaná aj v prípade inštalácie škodlivých softvérov v MacOS. Útočník aj s nízkymi užívateľskými oprávneniami tak môže do inštalátora služby vložiť škodlivý kód, ktorý mu umožní získať najvyššiu úroveň užívateľských oprávnení – tzv. „root“.
Ever wondered how the @zoom_us macOS installer does it’s job without you ever clicking install? Turns out they (ab)use preinstallation scripts, manually unpack the app using a bundled 7zip and install it to /Applications if the current user is in the admin group (no root needed). pic.twitter.com/qgQ1XdU11M
— Felix (@c1truz_) March 30, 2020
Táto úroveň oprávnení znamená, že útočník získa prístup k základnému operačnému systému MacOS, ktorý je väčšinou pre používateľov obmedzený, čo mu následne uľahčí spúšťanie škodlivého softvéru alebo spywaru bez toho, aby si to používateľ všimol. Druhá zraniteľnosť však využíva spôsob, akým Zoom pristupuje k webkamere a mikrofónu v Macoch.
Nahrávanie videa a audia bez upozornenia
Rovnako ako všetky aplikácie, ktoré využívajú webkameru a mikrofón, služba si najprv vyžiada súhlas od používateľa. Wardle ale tvrdí, že útočník môže do Zoomu vložiť škodlivý kód, ktorý používateľa podvedie tak, aby poskytol útočníkovi rovnaký prístup k webkamere a mikrofónu, ako má samotná služba.
Akonáhle sa Wardlovi podarilo do samotného Zoom vložiť škodlivý softvér, vyššie popísaným spôsobom škodlivý kód „automaticky zdedil“ niektoré alebo všetky prístupové práva služby Zoom, rovnako ako prístup k webkamere a mikrofónu počítača. Pri tomto spôsobe sa tak nezobrazia žiadne výzvy ani upozornenia a útočník preto môže ľubovolne nahrávať video alebo zvuk.
Pretože Wardle na svojom blogu vynechal podrobnosti o chybách a zraniteľnostiach zabezpečenia, Zoom ešte doposiaľ neposkytol ich opravu. Medzitým ale Wardle uviedol, že: „Ak vám záleží na vašej bezpečnosti a súkromí, možno by ste mali prestať používať Zoom.“
Čítajte viac z kategórie: Aplikácie
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
Plaťte, šetrite, investujte, kdekoľvek ste – pohodlne a moderne. Prestúpte s VÚB do inej ligy mobilného bankovníctva
Slováci rozbehli digitálnu revolúciu v panelákoch. Investori vložili do ich geniálnej apky pol milióna
EXKLUZÍVNE: Slovákov okráda „falošná Alza”. Experti varujú, že ťa pripraví o všetky peniaze
Toto ocení každý. WhatsApp zavádza brutálnu novinku, ktorá odstráni mimoriadne otravnú vec
Apple konečne vypočul používateľov. Prichádza veľký redizajn aj nové funkcie do auta
NAJČÍTANEJŠIE ZO STARTITUP
Hit medzi proteínovými doplnkami ničí črevnú mikroflóru. Odborník ho spája s rakovinou hrubého čreva
Nenápadná firma z Petržalky vystrelila z tržieb pod 1 miliónom na 12,4 milióna eur. Biznis s liekmi raketovo rastie (EXPERT)
Chorvátsko hlási cenový šok. Najviac zdraželo obľúbené prímorské mestečko Slovákov
Nie je taký účinný, ako si myslíme: Expert vysvetlil, prečo končí preventívny ultrazvuk
Konsolidácia verejných financií za 3 miliardy eur nás bude bolieť. Minister financií pripravil 68 opatrení
- 24 hod
- 48 hod
- 7 dní
-
- Stáročia stará záhada má jasnú odpoveď. Vo vnútri Mesiaca našli veľké prekvapenie
- Nový čínsky motor prežil test, ktorý láme fyzikálne zákony. Využíva pohon ako z iného sveta
- Z Londýna do New Yorku za 2 hodiny. Ikonické nadzvukové lietadlo hlási návrat, vzlietne už čoskoro
- Británia, USA a Austrália sa spojili proti rastúcej hrozbe. Ich tajná zbraň za 15 miliárd libier je hotová
- Fyzici vyriešili 80-ročnú záhadu, ktorú všetci ignorovali. Teraz môže navždy zmeniť tvoj život
-
- Nový čínsky motor prežil test, ktorý láme fyzikálne zákony. Využíva pohon ako z iného sveta
- O toto išlo Rusom celý čas. Obsadili jedno z najväčších ložísk dôležitej suroviny v Európe
- Ani fúzia sa jej nevyrovná. Vedci našli alternatívu, ktorá nám dá neobmedzenú energiu
- Stáročia stará záhada má jasnú odpoveď. Vo vnútri Mesiaca našli veľké prekvapenie
- Vedci ostali v nemom úžase. Prehliadaná planéta našej Galaxie v sebe ukrýva poklad za bilióny eur
-
- O toto išlo Rusom celý čas. Obsadili jedno z najväčších ložísk dôležitej suroviny v Európe
- Ak zaútočia, pocítia fatálny úder. USA poslali do Európy tisíce vojakov a najsmrtiacejšiu flotilu sveta
- Majú voňať, namiesto toho nám ničia pľúca. Vedci varujú pred tichým zabijakom ovzdušia v dome
- Horúčavy už nebudú problém. Objavili prelomový spôsob, ako za pár centov vychladíš celú domácnosť
- Vedci zachytili silný rádiový signál z vesmíru. Odpoveď šokovala každého
Uniknuté dokumenty odhalili problémy Nissanu. Reštrukturalizácia už začala
46 stupňov v tieni a výstrahy naprieč kontinentom. Európa zažíva extrémne leto
EÚ odobrila dotácie na elektrinu pre firmy. Podmienkou sú investície do úspor
Svet sa rozpadá na kusy. Guterres vyzýva na urgentné financovanie rozvoja
Vývoz dielov F-35 pre Izrael prešiel súdnou skúškou. Britský súd potvrdil kontroverzné licencie
NAJČÍTANEJŠIE ZO STARTITUP