Twee Nederlandse ethische hackers van Computest Security hebben ernstige kwetsbaarheden gevonden in Zoom. Door het misbruiken van de kwetsbaarheden is de laptop of pc van een gebruiker over te nemen, vrijwel zonder dat de gebruiker betrokken hoeft te zijn, laat staan het doorheeft.
De bevindingen van Daan Keuper en Thijs Alkemade zijn van dusdanig belang dat ze deze mochten presenteren tijdens de prestigieuze hackerswedstrijd Pwn2Own, onderdeel van de security-conferentie CanSecWest. Zoom beloonde de vondst met een zogenaamde ‘bug bounty’ van 200.000 dollar.
Tijdens hun onderzoek naar Zoom vonden Keuper en Alkemade een aantal zogeheten zero-day kwetsbaarheden in de Zoom client. Deze wordt door gebruikers op een PC of laptop geïnstalleerd om van de video-conferencing dienst gebruik te kunnen maken. De hackers van Computest Security zijn erin geslaagd willekeurige code uit te voeren op verschillende systemen van diverse geselecteerde slachtoffers die hun medewerking verleenden.
Ze waren vervolgens in staat om het systeem vrijwel helemaal over te nemen en acties uit te voeren zoals de camera aanzetten, microfoon aanzetten, e-mails lezen, meekijken op het scherm en de browsergeschiedenis downloaden. Hiervoor was geen gebruikersinteractie nodig vanuit de kant van het slachtoffer.
Keuper: “Zoom lag vorig jaar al onder vuur vanwege kwetsbaarheden. Daarbij ging het vooral om de veiligheid van de toepassing zelf, en het mogelijk meekijken en -luisteren met de video-calls. Onze ontdekkingen gaan echter verder. Door kwetsbaarheden in de client waren we in staat het hele systeem van gebruikers over te nemen. Een serieus privacy-issue waarmee we ons hebben gekwalificeerd voor deelname aan Pwn2Own en uiteindelijk hebben gewonnen.”
Sector 7
Om kwetsbaarheden die een groot maatschappelijk belang hebben te onderzoeken, heeft Computest Security een eigen onderzoekslab ingericht: Sector 7. “Met een eigen lab willen we niet alleen de innovatie binnen het bedrijf stimuleren en laten zien dat we de beste hackers in huis hebben, maar ook zorgen voor meer security-bewustzijn in de hele keten”, vertelt Chris Hazewinkel, CEO van Computest Security.
“Steeds meer zakelijke en consumentenproducten zijn connected. Door het gebruiksgemak worden deze ook massaal geadopteerd. Zoals we ook met ons eerdere onderzoek naar IoT-security in de automotive sector hebben gezien, laat het beveiligingsniveau vaak nog te wensen over. Het blootleggen van dit soort kwetsbaarheden in Zoom geeft ook aan dat organisaties in elke situatie kritisch moeten zijn bij het ingebruiknemen van nieuwe tools.”