Nočná mora služby Zoom pokračuje. Bývalý hacker NSA v nej objavil zraniteľnosti, ktoré umožnia útočníkovi prevziať kontrolu nad webkamerou či mikrofónom počítača.

Popularita videokonferenčnej služby Zoom závratne stúpla v aktuálnych časoch domácich karantén a nariadených prác z domu. Spolu s popularitou sa však objavili aj nepríjemnosti, ktoré poukazujú na problémy služby s ochranou osobných údajov a bezpečnosťou. Problémy ešte viac vykreslila existencia automatizovaného nástroja, ktorý dokáže skenovať heslom nechránené videokonferencie.

Ako informuje DailyMail, pri vyššie uvedených problémoch však nočná mora Zoom nekončí. Patrick Wardle, bývalý hacker NSA a aktuálne hlavný výskumný pracovník v oblasti bezpečnosti v spoločnosti Jamf, odhalil 2 bezpečnostné zraniteľnosti služby, ktoré napríklad umožnia hackerovi prevziať kontrolu nad webkamerou či mikrofónom počítača.

Útočník potrebuje fyzický prístup k zariadeniu

Ako bližšie špecifikuje TechCrunch, zraniteľnosti je možné zneužiť v prípade lokálneho, respektíve fyzického prístupu k počítaču so systémom MacOS. Po zneužití môže útočník získať a neskôr aj udržiavať trvalý prístup k vnútornému systému počítača obete, čo mu umožňuje nainštalovať malvér alebo spyware bez toho, aby bol odhalený.

Prvá zraniteľnosť vyplýva z faktu, že Zoom používa na inštaláciu aplikácie pre systémy MacOS techniku, ktorá si nevyžaduje interakciu používateľa. Rovnaká technika je však využívaná aj v prípade inštalácie škodlivých softvérov v MacOS. Útočník aj s nízkymi užívateľskými oprávneniami tak môže do inštalátora služby vložiť škodlivý kód, ktorý mu umožní získať najvyššiu úroveň užívateľských oprávnení – tzv. „root“.

Táto úroveň oprávnení znamená, že útočník získa prístup k základnému operačnému systému MacOS, ktorý je väčšinou pre používateľov obmedzený, čo mu následne uľahčí spúšťanie škodlivého softvéru alebo spywaru bez toho, aby si to používateľ všimol. Druhá zraniteľnosť však využíva spôsob, akým Zoom pristupuje k webkamere a mikrofónu v Macoch.

Nahrávanie videa a audia bez upozornenia

Rovnako ako všetky aplikácie, ktoré využívajú webkameru a mikrofón, služba si najprv vyžiada súhlas od používateľa. Wardle ale tvrdí, že útočník môže do Zoomu vložiť škodlivý kód, ktorý používateľa podvedie tak, aby poskytol útočníkovi rovnaký prístup k webkamere a mikrofónu, ako má samotná služba.

Zobraziť celú galériu (1)

Dávid Hrabčák/FonTech

Akonáhle sa Wardlovi podarilo do samotného Zoom vložiť škodlivý softvér, vyššie popísaným spôsobom škodlivý kód „automaticky zdedil“ niektoré alebo všetky prístupové práva služby Zoom, rovnako ako prístup k webkamere a mikrofónu počítača. Pri tomto spôsobe sa tak nezobrazia žiadne výzvy ani upozornenia a útočník preto môže ľubovolne nahrávať video alebo zvuk.

Pretože Wardle na svojom blogu vynechal podrobnosti o chybách a zraniteľnostiach zabezpečenia, Zoom ešte doposiaľ neposkytol ich opravu. Medzitým ale Wardle uviedol, že: „Ak vám záleží na vašej bezpečnosti a súkromí, možno by ste mali prestať používať Zoom.“