Zoom a jeho otrasné zabezpečenie: Bývalý hacker odhaľuje ďalšie dve kritické chyby
Nočná mora služby Zoom pokračuje. Bývalý hacker NSA v nej objavil zraniteľnosti, ktoré umožnia útočníkovi prevziať kontrolu nad webkamerou či mikrofónom počítača.
Popularita videokonferenčnej služby Zoom závratne stúpla v aktuálnych časoch domácich karantén a nariadených prác z domu. Spolu s popularitou sa však objavili aj nepríjemnosti, ktoré poukazujú na problémy služby s ochranou osobných údajov a bezpečnosťou. Problémy ešte viac vykreslila existencia automatizovaného nástroja, ktorý dokáže skenovať heslom nechránené videokonferencie.
Ako informuje DailyMail, pri vyššie uvedených problémoch však nočná mora Zoom nekončí. Patrick Wardle, bývalý hacker NSA a aktuálne hlavný výskumný pracovník v oblasti bezpečnosti v spoločnosti Jamf, odhalil 2 bezpečnostné zraniteľnosti služby, ktoré napríklad umožnia hackerovi prevziať kontrolu nad webkamerou či mikrofónom počítača.
Útočník potrebuje fyzický prístup k zariadeniu
Ako bližšie špecifikuje TechCrunch, zraniteľnosti je možné zneužiť v prípade lokálneho, respektíve fyzického prístupu k počítaču so systémom MacOS. Po zneužití môže útočník získať a neskôr aj udržiavať trvalý prístup k vnútornému systému počítača obete, čo mu umožňuje nainštalovať malvér alebo spyware bez toho, aby bol odhalený.
New: Just when you thought things couldn't get any worse for Zoom, an ex-NSA hacker just dropped two Zoom zero-days on his blog. One of the bugs can allow an attacker to tap into the webcam and microphone without permission.https://t.co/5HXxki9JOb
— Zack Whittaker (@zackwhittaker) April 1, 2020
Prvá zraniteľnosť vyplýva z faktu, že Zoom používa na inštaláciu aplikácie pre systémy MacOS techniku, ktorá si nevyžaduje interakciu používateľa. Rovnaká technika je však využívaná aj v prípade inštalácie škodlivých softvérov v MacOS. Útočník aj s nízkymi užívateľskými oprávneniami tak môže do inštalátora služby vložiť škodlivý kód, ktorý mu umožní získať najvyššiu úroveň užívateľských oprávnení – tzv. „root“.
Ever wondered how the @zoom_us macOS installer does it’s job without you ever clicking install? Turns out they (ab)use preinstallation scripts, manually unpack the app using a bundled 7zip and install it to /Applications if the current user is in the admin group (no root needed). pic.twitter.com/qgQ1XdU11M
— Felix (@c1truz_) March 30, 2020
Táto úroveň oprávnení znamená, že útočník získa prístup k základnému operačnému systému MacOS, ktorý je väčšinou pre používateľov obmedzený, čo mu následne uľahčí spúšťanie škodlivého softvéru alebo spywaru bez toho, aby si to používateľ všimol. Druhá zraniteľnosť však využíva spôsob, akým Zoom pristupuje k webkamere a mikrofónu v Macoch.
Nahrávanie videa a audia bez upozornenia
Rovnako ako všetky aplikácie, ktoré využívajú webkameru a mikrofón, služba si najprv vyžiada súhlas od používateľa. Wardle ale tvrdí, že útočník môže do Zoomu vložiť škodlivý kód, ktorý používateľa podvedie tak, aby poskytol útočníkovi rovnaký prístup k webkamere a mikrofónu, ako má samotná služba.
Akonáhle sa Wardlovi podarilo do samotného Zoom vložiť škodlivý softvér, vyššie popísaným spôsobom škodlivý kód „automaticky zdedil“ niektoré alebo všetky prístupové práva služby Zoom, rovnako ako prístup k webkamere a mikrofónu počítača. Pri tomto spôsobe sa tak nezobrazia žiadne výzvy ani upozornenia a útočník preto môže ľubovolne nahrávať video alebo zvuk.
Pretože Wardle na svojom blogu vynechal podrobnosti o chybách a zraniteľnostiach zabezpečenia, Zoom ešte doposiaľ neposkytol ich opravu. Medzitým ale Wardle uviedol, že: „Ak vám záleží na vašej bezpečnosti a súkromí, možno by ste mali prestať používať Zoom.“
Čítajte viac z kategórie: Aplikácie
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
Za pár sekúnd ti nájde úplne všetko. Google potichu spustil nový vyhľadávač
Obľúbená hudobná služba Slovákov prekvapila veľkou zmenou. Bezplatná verzia rastie, Premium pridáva Hi-Fi kvalitu
Dôležitá zmena pre používateľov Gmailu. Tradičným spôsobom sa už čoskoro neprihlásiš
7 najväčších chýb, ktorými si denne ničíš smartfón (a ani o tom nevieš)
TOP 8 aplikácií na správu času, ktoré ti zmenia život. Bez čísla 7 by som nevedel fungovať
NAJČÍTANEJŠIE ZO STARTITUP
Koalícia chce znížiť platy poslancov. Potvrdil predseda parlamentu Raši
Bratislavského policajta zadržali: Čelí obvineniam z extrémizmu a nenávisti
Milované jedlá Slovákov rozkladajú mozgové bunky. Už po týždni sa objavujú výpadky pamäti
Slováci si priplatia za pečivo. Pekári varujú pred dopadom konsolidácie
Obyčajná sladkosť sa mení na nástroj dlhovekosti. Dokáže tlmiť zápal a spomaľovať starnutie, ukazujú štúdie
- 24 hod
- 48 hod
- 7 dní
-
- Zrodila sa technológia, ktorá berie dych. Lietadlo obalené bublinou môže znamenať revolúciu v histórii letectva
- Môže zasiahnuť ciele na celom svete. Európsky štát vyvíja jadrovú raketu s doletom 10 000 km
- Vedci ostali šokovaní: ChatGPT vyriešil 2000-ročný matematický problém kurióznym spôsobom
- Nikdy nevideli nič podobné. Vedci našli Stratené mesto, je kľúčom pre vznik života
- Kritici už teraz hovoria o filme roka. Nový triler s DiCapriom príde do našich kín už čoskoro
-
- Zrodila sa technológia, ktorá berie dych. Lietadlo obalené bublinou môže znamenať revolúciu v histórii letectva
- Vedci ostali šokovaní: ChatGPT vyriešil 2000-ročný matematický problém kurióznym spôsobom
- Môže zasiahnuť ciele na celom svete. Európsky štát vyvíja jadrovú raketu s doletom 10 000 km
- Stroj zo studenej vojny prerobili na toto. Svetová veľmoc uchvátila svet, môže mať zákerné úmysly
- Chcú ich vyrábať, no má to háčik. Šéf Kia odhalil, prečo sa automobilkám neoplatia lacné elektromobily
-
- Zrodila sa technológia, ktorá berie dych. Lietadlo obalené bublinou môže znamenať revolúciu v histórii letectva
- Na Slovensku odštartovala nová TV stanica. Dá sa pozerať úplne zadarmo a je v HD kvalite
- Na objavenie čakal 140 miliónov rokov. 15 km pod Európou našli vedci stratený svet
- Pošlú ich rovno do šrotu. Kontroverzná regulácia Európskej komisie o autách je na spadnutie
- Nič podobné nenašli vyše 150 rokov. Záhadný kameň v Egypte odhalil „posolstvo“ staré 2263 rokov
Poľsko sa výrazne vojensky vyzbrojuje. Do konca roka chce posilniť svoju kľúčovú zónu
Kybernetická éra sa ukázala v Košiciach. SlovakiaTech 2025 láme všetky očakávania
Realita o elektroautách prekvapila celé Slovensko. Len malá časť ľudí má reálnu skúsenosť za volantom
Nečakaná krajina zbrojí na úroveň veľmocí. Od Izraelu kúpila zbrane za vyše 2 miliardy eur
Nenápadný faktor nás oberá o miliardy eur: Európska únia je pod tlakom extrémnych javov, ničia ekonomiku štátov
NAJČÍTANEJŠIE ZO STARTITUP