Twee Nederlandse hackers hebben een geldprijs van 200.000 dollar (168.000 euro) gewonnen door het videobelprogramma Zoom succesvol te hacken. Zij deden dit tijdens de hackwedstrijd Pwn2Own, die wordt georganiseerd door the Zero Day Initiative. Daan Keuper en Thijs Alkemade wisten zich via Zoom toegang te verschaffen tot computers van Zoom-gebruikers.
Tijdens hun onderzoek naar Zoom vonden Keuper en Alkemade een aantal zogeheten zero-day kwetsbaarheden in de Zoom client. Deze wordt door gebruikers op een PC of laptop geïnstalleerd om van de video-conferencing dienst gebruik te kunnen maken.
Toegang zonder actie van de gebruiker
De hackers van Computest Security zijn erin geslaagd willekeurige code uit te voeren op verschillende systemen van diverse geselecteerde slachtoffers die hun medewerking verleenden. Ze waren vervolgens in staat om het systeem vrijwel helemaal over te nemen. Zij konden acties uitvoeren zoals de camera aanzetten, microfoon aanzetten, e-mails lezen, meekijken op het scherm en de browsergeschiedenis downloaden. De gebruiker hoeft nergens op te klikken om de hacker toegang te geven tot de computer, zoals bij sommige phishing e-mails het geval is. Dat maakt het lek extra gevaarlijk.
Zoom werkt aan beveiligingsupdate
Alkemade en Keuper, werkzaam bij een cybersecuritybedrijf, zeggen tegen RTL Nieuws dat Zoom-gebruikers zich geen zorgen hoeven te maken, omdat alleen zij en Zoom weten hoe de zwakheid kan worden uitgebuit. Volgens het tweetal is Zoom al bezig met een beveiligingsupdate.
Tools voor thuiswerken aantrekkelijk doelwit
De hackers van Computest Security mochten hun bevindingen presenteren tijdens de internationale hackerswedstrijd Pwn2Own, onderdeel van security-conferentie CanSecWest. Veel grote techbedrijven als Microsoft, Adobe en Tesla doen al langer mee aan Pwn2Own om hun oplossingen te laten onderwerpen aan de beproevingen van ethisch hackers. Aangezien mensen door de pandemie massaal zijn gaan thuiswerken door en tools die daarbij gebruikt worden een aantrekkelijk doelwit zijn geworden voor hackers, heeft de organisatie dit jaar de nieuwe categorie Enterprise Communications toegevoegd. Daarbij stond Zoom voor het eerst als onderdeel op het programma.
Twee maanden bezig met uitbuiten van het lek
De mannen zijn twee maanden bezig geweest met het zo goed mogelijk proberen uit te buiten van het lek, zeggen ze tegen RTL. “Het meeste werk zit ‘m in de kwetsbaarheid uitbouwen zodat je er daadwerkelijk een computer mee kunt overnemen, en dat dat ook elke keer lukt – ongeacht op welke computer”, aldus Keuper.
– Thuiswerken? Zo communiceer je veilig digitaal met elkaar
– Met mensen alleen los je digitale fraude niet op
– Actuele cyberdreigingen in de tijd van Covid-19
– Medewerkers zijn je sterkste poortwachters
– Voorbereiden op digitale ontwrichting vraagt om coördinatie overheid
Volg Security Management op LinkedIn