Korzystasz z Zooma? Właśnie sprzedano exploit jego podatności 0-day

Maciej Olanicki, 16.04.2020 r.

Zoom przebojem wdarł się do biur i domostw. Łatwy w obsłudze i wieloplatformowy komunikator wideokonferencyjny w mgnieniu oka zastąpił lukę, jaką pozostawił po sobie chaotyczny i nieprzemyślany rozwój Skype’a. Co prawda szybko pojawiły się co do niego spore wątpliwości, zwłaszcza w zakresie stosowanych mechanizmów kryptograficznych. Ale to nie koniec problemów będących kosztem wzrostu popularności Zooma, to ich początek.

Wątpliwości wobec zoomowej kryptografii

Krótko po boomie popularności Zooma wyszło na jaw, że komunikator wykorzystywany na dużą skalę także przez firmy nie oferuje tak naprawdę szyfrowania end-to-end. Wzbudziło to tym więcej kontrowersji, że właśnie takie szyfrowanie opisywane było zarówno na stronie internetowej Zooma, jak i w jego dokumentacji. W końcu rzecznik firmy potwierdził, że wideorozmowy nie są szyfrowane E2E, lecz z wykorzystaniem TLS.

To spowodowało reakcję korporacji oraz administracji wielu państw. Google zabroniło swoim pracownikom korzystania z Zooma w celach służbowych. Negatywnie na opinii komunikatora odbiła się także ignorancja samych użytkowników. Korzystali oni z podczas organizacji z ustawień domyślnych, w których rozmowy są… publicznie dostępne. Poskutkowało to „intruzami” i narodzinami nowego słowa określającego „włamania”: zoombombing.

Exploit podatności Zooma sprzedany za 500 tys. dolarów

Na tym jednak problemy Zooma się nie kończą. Jak bowiem informuje Sergiu Gatal na łamach serwisu Bleeping Computer, w darknecie właśnie sprzedano exploit podatności dnia zerowego Zooma. Dzięki jego wykorzystaniu możliwe jest włamywanie się do wideokonferencji za pośrednictwem klienta Zooma na macOS-ie. Mowa rzecz jasna o włamaniach na prywatne rozmowy, a nie o zoombombingu domyślnie publicznych wideokonferencji.

Podatność sprzedano za okrągłą sumkę 500 tys. dolarów. Co ważne, nie jest to jedyny exploit dostępny na czarnym rynku. Wciąż dostępne są w sprzedaży exploity podatności Zooma w wersji na Windowsa (zdalne wykonanie kodu umożliwiającego przejęcie całkowitej kontroli nad maszyną) i macOS-a. Brakuje informacji, czy są one jakkolwiek powiązane z podatnością sprzedanego już klienta macOS-owego.