Zoom 正夯 Windows 用戶端漏洞以 50 萬美元兜售

全球用戶高達2億的Zoom資安問題接踵而來,現在駭客出售2個用以駭入Zoom用戶端並竊聽的零時差漏洞,一個是Windows版,另一個是Mac版。

全球用戶高達 2 億的 Zoom 資安問題接踵而來,現在駭客出售 2 個用以駭入 Zoom 用戶端並竊聽的零時差漏洞,一個是 Windows 版,另一個是 Mac 版。

The Motherboard 從三名消息來源獲知此消息。其中,Windows 零時差漏洞是遠端程式碼攻擊(Remote Code Execution, RCE)程式,很適合用來執行產業間諜活動。一名曾被推銷的消息人士指出,Windows 版 Zoom 零時差漏洞要價 50 萬美元。不過這個漏洞還需要搭配另一個漏洞才能駭入用戶整台機器。此外消息人士說,駭客必須和目標對象建立視訊才能發動攻擊,對情報機關來說,品質還不夠高。

MacOS 版則不是 RCE 漏洞,對駭客來說較不好用,但對用戶來說危險性也較低。

由於 Zoom 的資安設計不佳,近來爆出 Zoom 以 meeting ID 容易被看到出現視訊會議遭人亂入(稱為 Zoom Bombing)的問題。此外美國、德國、澳洲、巴西政府的特定單位,以及台灣政府都禁止使用 Zoom。(編註:在最新的 Zoom 用戶端更新中,已經修正 Zoom Bombing 的問題)

顯然 Zoom 已成駭客攻擊目標。本周還傳出有 53 萬名 Zoom 用戶帳號 Meeting ID、電子郵件、密碼、所屬單位等個資被流傳到駭客論壇上,結果以每筆 0.002 美元出售,其中不乏摩根大通、花旗銀行或知名大學的成員。這些資訊可能被用作變臉攻擊詐騙轉帳,或是拿到用戶常用網站上比對(稱為帳號填充攻擊),破解出更重要網站帳密。

來源:The Motherboard

 

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2023 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416