WFH 注意保安! 白帽黑客競賽揭 Zoom 漏洞 啟動視像即中招

數碼轉型 18:18 2021/04/14

分享:

沒錯疫情下是多了不少人使用 Zoom 開會或上課,但用家數量增加的同時,程式漏洞也愈見頻繁。在上星期完滿結束,由 Zero Day Initiative 主辦的白帽黑客競賽 Pwn2Own 中,Computest 研究人員 Daan Keuper 及 Thijs Alkemade 就揭發 Zoom 漏洞,黑客在毋須用家在 Zoom 與他人有任何互動的情況下,都可遠端執行程式碼 RCE,當用家啟動視像即中招。 
               
【一文看清口罩供應】時尚口罩在何處買? 12 大連鎖商戶+小店+便利店+網店優惠

Computest 研究人員 Daan Keuper 及 Thijs Alkemade 發現,黑客只要連結 3 個 Zoom 漏洞,即使用家沒有在 Zoom 與他人有任何互動,都可遠端執行程式碼 RCE,當用家啟動視像即中招,而有關漏洞就於白帽黑客競賽 Pwn2Own 完結後公布,兩名研究人員因而獲得獎金 US$20 萬(約 HK$1,554,400)。隨後 Zoom 對事件發表聲明,提到在 Zoom Chat 發現了最少 1 個漏洞,但可幸的是 Zoom Meeting 及 Zoom Video Webinar 會議則不受影響,現時正致力修補有關漏洞。另外,品牌也強調有關攻擊是需從事主接收的外部聯絡人發動,又或者必須與事主屬於同一個公司帳號,方能成事的。有見及此,品牌建議所有用家只接受由個人發出的通話請求,而最好發出請求的人是認識的。

【其他內容】 【附優惠詳情】2 折發售! Raze 4 層光觸媒抗菌口罩 特價售 $10 盒

據美國網絡安全企業 MalwareByte 所提,目前已知以上 Zoom 漏洞是可在 Windows 及 Mac 版本提到,網頁版則不受影響。至於因着 Daan Keuper 及 Thijs Alkemade 兩位研究人員未有實測 iOS 及 Android 版本,所以也未知 Zoom 手機版有否同受影響。

【其他內容】【附購買連結】香港製造 Love Kid TYPE IIR 兒童口罩 特價售 $5 包
 

撰文 : 蘇家華

緊貼財經時事新聞分析,讚好hket Facebook 專版