Zoom korjasi kolme haavoittuvuutta, joilla olisi voinut kaapata tietokoneen - Tietoturva - Ilta-Sanomat

Zoomista löytyi paha haavoittuvuuksien sarja – käyttäjät joutuivat vaaraan

Haavoittuvuuksien avulla olisi ollut mahdollista kaapata koko tietokone.

Zoom sanoo jo korjanneensa haavoittuvuudet.­

13.4. 14:58

Suositusta videoneuvotteluohjelmistosta Zoomista korjattiin kolme haavoittuvuutta, joiden yhteiskäytöllä oli mahdollista ottaa Windows- tai Mac-tietokone haltuun. Uhrin ei olisi tarvinnut klikata mitään hyökkäyksen onnistumiseksi.

Asiasta uutisoi muun muassa Gizmodo. Haavoittuvuudet löysi kaksi eettistä hakkeria, jotka osallistuivat jokavuotiseen Pwn2Own-hakkerointihaasteeseen. Siinä otetaan mittaa eri ohjelmista ja pyritään todentamaan niiden tietoturvaongelmia. Alankomaalaisen Computest Securityn hakkerit Daan Keuper ja Thijs Alkemade saivat työstään 200 000 dollarin palkkion Zoomilta.

Kyseessä ei ole ensimmäinen kerta, kun Zoomista on löydetty huolestuttavia haavoittuvuuksia. Vuosi sitten tietoturvatutkijat varoittivat aukoista, joiden avulla uskottiin olleen mahdollista salakuunnella keskusteluja tai varastaa arkaluonteisia tietoja keskusteluun osallistuvista tietokoneista.

Hakkerikaksikko on kuitenkin sitä mieltä, että nyt uhka nousi uudelle tasolle.

– Zoom pääsi otsikoihin viime vuonna erilaisten haavoittuvuuksien takia. Näissä oli kuitenkin lähinnä kyse sovelluksen itsensä turvallisuudesta sekä mahdollisuudesta katsoa ja kuunnella videopuheluja. Meidän löydöksemme ovat vieläkin vakavampia. Asiakasohjelmiston haavoittuvuudet päästivät meidät ottamaan koko järjestelmän haltuun käyttäjiltä, Daan Keuper toteaa Computestin tiedotteessa.

Aukkojen avulla oli mahdollista esimerkiksi käynnistää tietokoneen kamera ja mikrofoni, lukea sähköposteja, katsoa mitä näytöllä esitetään ja ladata selainhistoria.

Zoomin mukaan vaara koski ryhmäviestittelyyn tarkoitettua Zoom Chatia, ei Zoom Meetings- tai Zoom Video Webinars -tuotteita. Zoom Chatia on mahdollista käyttää myös ilmaiseksi.

Computest kuitenkin puhuu tiedotteessaan vain yleisesti ottaen Zoom-ohjelmasta videoneuvotteluja varten. Zoom on joka tapauksessa korjannut haavoittuvuudet palvelimiltaan, eli käyttäjien ei tarvitse tehdä mitään ollakseen suojassa.

Tietoturvayhtiö Malwarebytes huomauttaa, että Zoomin käyttäminen selaimella tietokoneelle asennettavan ohjelmiston sijaan oli koko ajan turvallista. Ei ole selvää, koskevatko aukot ohjelmiston iOS- ja Android-versioita.

Zoom huomauttaa myös, että hyökkäys olisi onnistunut vain käyttäjän hyväksymän ulkoisen kontaktin tai uhrin jakaman organisaation tilin kautta.

Osion tuoreimmat

Luitko jo nämä?