Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Bug w aplikacji Zoom może spowodować wyciek wrażliwych danych

Kapitan Hack / Cybernews / Bug w aplikacji Zoom może spowodować wyciek wrażliwych danych

Zoom chyba nie uzyska miana najbardziej zaufanego i najbezpieczniejszego narzędzia do spotkań online. Po tym jak w ubiegłym roku zrobiło się głośno na temat podsłuchów w tej aplikacji oraz możliwości włamywania się na prywatne spotkania czy nawet przejmowania kontroli na PC, czas na kolejną lukę.

Tym razem błąd bezpieczeństwa w aktualnej wersji Zoom może nieumyślnie spowodować wyciek danych użytkowników do innych uczestników spotkania podczas rozmowy. Dane ujawniają się na ekranie tylko na chwilę (dosłowne parę klatek), co utrudnia wykorzystanie tej luki.

Podatność (CVE-2021-28133) wynika z usterki w funkcji udostępniania ekranu platformy wideokonferencyjnej Zoom. Funkcja ta umożliwia oczywiście użytkownikom udostępnianie zawartości swojego ekranu innym uczestnikom konferencji. Jest tutaj możliwość udostępnienia całego ekranu, jednego lub więcej okien konkretnej aplikacji lub tylko jednego wybranego obszaru pulpitu.
Jednak pod pewnymi warunkami, jeśli prezenter Zoom zdecyduje się udostępnić wybrane okno aplikacji, funkcja udostępniania ekranu na krótko przesyła zawartość innych okien aplikacji do uczestników spotkania.
 Skutkiem tego może być pokazanie uczestnikom okna z klienta pocztowego, sejfu haseł czy aktualnie otwartego poufnego dokumentu, co jest jednoznaczne z udostępnieniem poufnych danych w niezamierzony sposób.

Obecna wersja klienta Zoom, 5.5.4 (13142.0301), dla systemu Windows jest nadal podatna na ten problem.

Problem występuje za każdym razem, gdy spełniony zostanie jeden warunek. Gdy użytkownik udostępnia jedno wydzielone okno aplikacji (np. slajdy prezentacji), a podczas udostępnienia uruchamiana zostaje nowa aplikacja w tle. Odkryto, że aplikacja ta jest przez krótką chwilę widoczna na udostępnianym ekranie

Chociaż widok dodatkowej aplikacji dostępny jest tylko na ułamek sekundy, to specjaliści ostrzegają, że inni uczestnicy spotkania, którzy nagrywają spotkanie (za pomocą wbudowanych funkcji nagrywania Zoom lub oprogramowania do nagrywania ekranu), mogą następnie wrócić do nagrania i w pełni wyświetlić wszystkie potencjalnie wrażliwe dane, które wyciekły w wyniku tej transmisji.

Ponieważ błąd ten jest statystycznie trudny do faktycznego wykorzystania (osoba atakująca musiałaby być uczestnikiem spotkania, na którym dane wrażliwe są nieumyślnie udostępnione), podatność otrzymała wynik 5,7 / 10 w skali CVSS.

Jednak waga tego problemu tak naprawdę zależy od niezamierzonych udostępnionych informacji. W niektórych przypadkach nie ma to znaczenia, w innych może przysporzyć dużo kłopotów. Na przykład, jeśli host konferencji lub webinaru prezentował uczestnikom slajdy przez Zoom, a następnie otworzył w tle menedżera haseł, inni uczestnicy Zoom mogliby w prosty sposób wykorzystać skradzione dane do przeprowadzenia bezpośredniego włamania. Warto dodać, że webinary na Zoom często prezentowane są dla nawet kilkudziesięciu czy kilkuset osób, które mogą być potencjalnymi odbiorcami udostępnionych danych.

Poniżej krótki film demonstrujący podatność:

Autor: 4 min czytania

Luka została zgłoszona do Zoom 2 grudnia, jednak w dniu publicznego ujawnienia usterki (18 marca 2021) specjaliści mówią, że nic nie wiadomo o poprawce, pomimo kilku zapytań do producenta o status aktualizacji.

„Niestety, nasze pytania dotyczące aktualizacji stanu z 21 stycznia i 1 lutego 2021 r. pozostały bez odpowiedzi” – powiedział Deeg z Threatpost. „Mam nadzieję, że Zoom wkrótce naprawi ten problem i moją jedyną radą dla wszystkich użytkowników Zoom… jest ostrożność podczas korzystania z funkcji udostępniania ekranu i przestrzeganie surowej zasady „czystego wirtualnego pulpitu” podczas spotkań na Zoom.”

Threatpost skontaktował się z Zoom aby uzyskać komentarz na temat tej usterki oraz tego, czy zostanie ona naprawiona w nadchodzącej wersji- ma się ukazać 22 marca.

Oto wymijająca odpowiedź: „Zoom traktuje wszystkie zgłoszenia luk w zabezpieczeniach poważnie” – powiedział Threatpost rzecznik Zoom. „Jesteśmy świadomi tego problemu i pracujemy nad jego rozwiązaniem”.

Popularne

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...
5 min czytania 5 cze 2019 08:00
Uwaga! Zero-daye w firewallach Cisco wykorzystane w atakach ArcaneDoor

Uwaga! Zero-daye w firewallach Cisco wykorzystane w atakach ArcaneDoor

O Cisco piszemy dosyć często, dzisiaj jednak w tonie wyjątkowo alarmującym. W czwartek (25 września) Cisco opublikowało ratunkowe poprawki dla dwóch luk w zaporze sieciowej, wykorzystywanych jako zero-d...
5 min czytania 1 paź 2025 06:36
Malware na macOS XCSSET uderza w Firefox i kradnie zawartość schowka

Malware na macOS XCSSET uderza w Firefox i kradnie zawartość schowka

Analitycy Microsoft Threat Intelligence opisali niedawno zaktualizowaną odsłonę znanego malware przeznaczonego na macOS – XCSSET. Najnowsza mutacja rozszerza zakres ataków poza Safari i Chrome, posia...
5 min czytania 30 wrz 2025 08:00
Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje

Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje

Splunk opublikował ważne informacje, dotyczące szeregu nowych podatności w swoich produktach Splunk Enterprise i Splunk Cloud Platform. Luki mogą umożliwić atakującym wykonanie nieautoryzowanego kodu Ja...
7 min czytania 2 godziny temu
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jeśli masz odrobinę szczęścia lub „odpowiednie umiejętności” i potrafisz zdobyć lokalne uprawnienia administracyjne na Twoim komputerze w firmie lub zaliczasz się do grona tych szczęściarzy, którzy pracuj...
10 min czytania 20 sty 2020 12:00
Popularne
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
Uwaga! Zero-daye w firewallach Cisco wykorzystane w atakach ArcaneDoor
Malware na macOS XCSSET uderza w Firefox i kradnie zawartość schowka
Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.