Zoom正夯　Windows用戶端漏洞以50萬美元兜售

全球用戶高達2億的Zoom資安問題接踵而來，現在駭客出售2個用以駭入Zoom用戶端並竊聽的零時差漏洞，一個是Windows版，另一個是Mac版。

The Motherboard從三名消息來源獲知此消息。其中，Windows零時差漏洞是遠端程式碼攻擊（Remote Code Execution, RCE）程式，很適合用來執行產業間諜活動。一名曾被推銷的消息人士指出，Windows版Zoom零時差漏洞要價50萬美元。不過這個漏洞還需要搭配另一個漏洞才能駭入用戶整台機器。此外消息人士說，駭客必須和目標對象建立視訊才能發動攻擊，對情報機關來說，品質還不夠高。

MacOS版則不是RCE漏洞，對駭客來說較不好用，但對用戶來說危險性也較低。

由於Zoom的資安設計不佳，近來爆出Zoom以meeting ID容易被看到出現視訊會議遭人亂入（稱為Zoom Bombing）的問題。此外美國、德國、澳洲、巴西政府的特定單位，以及台灣政府都禁止使用Zoom。（編註：在最新的Zoom用戶端更新中，已經修正Zoom Bombing的問題）

顯然Zoom已成駭客攻擊目標。本周還傳出有53萬名Zoom用戶帳號Meeting ID、電子郵件、密碼、所屬單位等個資被流傳到駭客論壇上，結果以每筆0.002美元出售，其中不乏摩根大通、花旗銀行或知名大學的成員。這些資訊可能被用作變臉攻擊詐騙轉帳，或是拿到用戶常用網站上比對（稱為帳號填充攻擊），破解出更重要網站帳密。

來源：The Motherboard