Zoom 正夯 Windows 用戶端漏洞以 50 萬美元兜售
全球用戶高達 2 億的 Zoom 資安問題接踵而來,現在駭客出售 2 個用以駭入 Zoom 用戶端並竊聽的零時差漏洞,一個是 Windows 版,另一個是 Mac 版。
The Motherboard 從三名消息來源獲知此消息。其中,Windows 零時差漏洞是遠端程式碼攻擊(Remote Code Execution, RCE)程式,很適合用來執行產業間諜活動。一名曾被推銷的消息人士指出,Windows 版 Zoom 零時差漏洞要價 50 萬美元。不過這個漏洞還需要搭配另一個漏洞才能駭入用戶整台機器。此外消息人士說,駭客必須和目標對象建立視訊才能發動攻擊,對情報機關來說,品質還不夠高。
MacOS 版則不是 RCE 漏洞,對駭客來說較不好用,但對用戶來說危險性也較低。
由於 Zoom 的資安設計不佳,近來爆出 Zoom 以 meeting ID 容易被看到出現視訊會議遭人亂入(稱為 Zoom Bombing)的問題。此外美國、德國、澳洲、巴西政府的特定單位,以及台灣政府都禁止使用 Zoom。(編註:在最新的 Zoom 用戶端更新中,已經修正 Zoom Bombing 的問題)
顯然 Zoom 已成駭客攻擊目標。本周還傳出有 53 萬名 Zoom 用戶帳號 Meeting ID、電子郵件、密碼、所屬單位等個資被流傳到駭客論壇上,結果以每筆 0.002 美元出售,其中不乏摩根大通、花旗銀行或知名大學的成員。這些資訊可能被用作變臉攻擊詐騙轉帳,或是拿到用戶常用網站上比對(稱為帳號填充攻擊),破解出更重要網站帳密。