2min

Twee Nederlandse hackers van Computest Security, Daan Keuper en Thijs Alkemade, hebben kritieke beveiligingsproblemen ontdekt in videobelapplicatie Zoom. Voor het ontdekken en melden van deze kritieke beveiligingslekken ontvangen zij van Zoom een beloning van 200.000 dollar.

De beveiligingsexperts van Computest Security hebben zogenaamde zero-day beveiligingslekken gevonden, dit zijn kwetsbaarheden die nog niet eerder zijn ontdekt. De problemen zijn echter zo kritiek dat de hackers op afstand een compleet systeem kunnen overnemen zonder dat de gebruiker dit in de gaten heeft. De beveiligingsproblemen bevinden zich in de Zoom-clientsoftware die gebruikers op hun PC hebben geïnstalleerd.

De ethische hackers zijn erin geslaagd om op meerdere systemen code uit te voeren. Hiermee konden ze het volledige systeem overnemen, toegang verkrijgen tot alle aanwezige data, maar ook toegang krijgen tot microfoon en webcam. De gebruiker hoeft hiervoor niets te doen, enkel de aanwezigheid van de Zoom-client zou voldoende zijn.

Keuper: “Zoom lag natuurlijk vorig jaar al onder vuur vanwege de nodige kwetsbaarheden. Daarbij ging het vooral om de veiligheid van de toepassing zelf, en het mogelijk meekijken en -luisteren met de video-calls. Onze ontdekkingen gaan echter verder. Door kwetsbaarheden in de client waren we in staat het hele systeem van gebruikers over te nemen. Een serieus privacy-issue waarmee we ons hebben gekwalificeerd voor deelname aan Pwn2Own en uiteindelijk hebben gewonnen.”

Wij schreven begin vorig jaar al een uitgebreid artikel over de problemen van Zoom: De problemen van Zoom op een rij gezet. Het bedrijf heeft daarna flink wat actie ondernomen om de problemen op te lossen. Gedurende 90 dagen werd alles aan de kant geschoven om de beveiliging te verbeteren. Nieuwe encrypties toe te passen en diverse andere maatregelen. Ook hier hebben we destijds over bericht: Hoe videoplatform Zoom zijn beveiliging op orde heeft gekregen.

Nu blijkt dat het allemaal onvoldoende is geweest en Zoom nog steeds met de nodige problemen kampt. Gelukkig voor Zoom betreft het dit keer ethische hackers. De 200.000 dollar vergoeding die de heren krijgen voor het vinden van de problemen en het melden zijn het meer dan waard. Als deze beveiligingslekken in verkeerde handen waren gevallen, was de schade vele malen groter geweest.

Pwn2Own

De hackers van Computest Security mochten hun bevindingen presenteren tijdens de internationale hackerswedstrijd Pwn2Own, onderdeel van security-conferentie CanSecWest. Grote technologiebedrijven als Adobe, Google, Microsoft en Tesla doen al langer mee aan Pwn2Own om hun software te laten onderwerpen aan de ethisch hackers. Nu we massaal zijn gaan thuiswerken zijn de tools die daarbij gebruikt worden een aantrekkelijk doelwit geworden voor hackers. Dit heeft de organisatie doen besloten dit jaar de nieuwe categorie Enterprise Communications toe te voegen. Daarbij stond Zoom voor het eerst als onderdeel op het programma. Hopelijk niet voor het laatst.