Una
vulnerabilità zero-day di Zoom ha rischiato di mettere in pericolo gli utenti. Fortunatamente è stata scoperta da due ricercatori di Computest nel corso di un contest organizzato da Zero Day Initiative. Zoom è già al lavora su una patch, nel frattempo è necessario tenere alta l'attenzione. Nell'hacking dimostrativo, infatti, DaanKeuper e Thijs Alkemade sono riusciti ad
assumere il controllo da remoto di un sistema senza bisogno dell'interazione dell'utente.
Al momento non ci sono ancora le informazioni dettagliate sulla catena di exploit adottata: resteranno riservate per tutelare gli utenti fintanto che Zoom non avrà chiuso le falle. L'unica informazione nota è che i due ricercatori hanno sfruttato una
combinazione di tre bug di Zoom per riuscire a compromettere un computer con sistema operativo Windows 10 aggiornato. Non solo: secondo la coppia di esperti, la tecnica sarebbe
altrettanto efficace su sistemi MacOS.
A quanto si apprende,
il problema riguarda solo il client di Zoom installato su PC Windows o Mac. Sarebbero esenti dal problema le videochat tramite browser, i meeting e i webinar organizzati tramite la piattaforma web. nella nota ufficiale che ha diramato, Zoom ha inoltre ha precisato che affinché sia efficace, l'attacco deve provenire da un contatto esterno accettato, o far parte dello stesso account organizzativo del target. In sostanza, la minaccia è reale, ma le condizioni affinché si concretizzi non la rendono di facile attuazione.
A titolo preventivo, Zoom consiglia agli utenti si accettare richieste di contatto solo da persone che conoscono e di cui si fidano. In caso di eventi sospetti, sono invitati a inviarne segnalazione al programma di divulgazione delle vulnerabilità nel Centro protezione.