Zoom chyba nie uzyska miana najbardziej zaufanego i najbezpieczniejszego narzędzia do spotkań online. Po tym jak w ubiegłym roku zrobiło się głośno na temat podsłuchów w tej aplikacji oraz możliwości włamywania się na prywatne spotkania czy nawet przejmowania kontroli na PC, czas na kolejną lukę.
Tym razem błąd bezpieczeństwa w aktualnej wersji Zoom może nieumyślnie spowodować wyciek danych użytkowników do innych uczestników spotkania podczas rozmowy. Dane ujawniają się na ekranie tylko na chwilę (dosłowne parę klatek), co utrudnia wykorzystanie tej luki.
Podatność (CVE-2021-28133) wynika z usterki w funkcji udostępniania ekranu platformy wideokonferencyjnej Zoom. Funkcja ta umożliwia oczywiście użytkownikom udostępnianie zawartości swojego ekranu innym uczestnikom konferencji. Jest tutaj możliwość udostępnienia całego ekranu, jednego lub więcej okien konkretnej aplikacji lub tylko jednego wybranego obszaru pulpitu.
Jednak pod pewnymi warunkami, jeśli prezenter Zoom zdecyduje się udostępnić wybrane okno aplikacji, funkcja udostępniania ekranu na krótko przesyła zawartość innych okien aplikacji do uczestników spotkania.
Skutkiem tego może być pokazanie uczestnikom okna z klienta pocztowego, sejfu haseł czy aktualnie otwartego poufnego dokumentu, co jest jednoznaczne z udostępnieniem poufnych danych w niezamierzony sposób.
Obecna wersja klienta Zoom, 5.5.4 (13142.0301), dla systemu Windows jest nadal podatna na ten problem.
Problem występuje za każdym razem, gdy spełniony zostanie jeden warunek. Gdy użytkownik udostępnia jedno wydzielone okno aplikacji (np. slajdy prezentacji), a podczas udostępnienia uruchamiana zostaje nowa aplikacja w tle. Odkryto, że aplikacja ta jest przez krótką chwilę widoczna na udostępnianym ekranie
Chociaż widok dodatkowej aplikacji dostępny jest tylko na ułamek sekundy, to specjaliści ostrzegają, że inni uczestnicy spotkania, którzy nagrywają spotkanie (za pomocą wbudowanych funkcji nagrywania Zoom lub oprogramowania do nagrywania ekranu), mogą następnie wrócić do nagrania i w pełni wyświetlić wszystkie potencjalnie wrażliwe dane, które wyciekły w wyniku tej transmisji.
Ponieważ błąd ten jest statystycznie trudny do faktycznego wykorzystania (osoba atakująca musiałaby być uczestnikiem spotkania, na którym dane wrażliwe są nieumyślnie udostępnione), podatność otrzymała wynik 5,7 / 10 w skali CVSS.
Jednak waga tego problemu tak naprawdę zależy od niezamierzonych udostępnionych informacji. W niektórych przypadkach nie ma to znaczenia, w innych może przysporzyć dużo kłopotów. Na przykład, jeśli host konferencji lub webinaru prezentował uczestnikom slajdy przez Zoom, a następnie otworzył w tle menedżera haseł, inni uczestnicy Zoom mogliby w prosty sposób wykorzystać skradzione dane do przeprowadzenia bezpośredniego włamania. Warto dodać, że webinary na Zoom często prezentowane są dla nawet kilkudziesięciu czy kilkuset osób, które mogą być potencjalnymi odbiorcami udostępnionych danych.
Poniżej krótki film demonstrujący podatność:
Luka została zgłoszona do Zoom 2 grudnia, jednak w dniu publicznego ujawnienia usterki (18 marca 2021) specjaliści mówią, że nic nie wiadomo o poprawce, pomimo kilku zapytań do producenta o status aktualizacji.
„Niestety, nasze pytania dotyczące aktualizacji stanu z 21 stycznia i 1 lutego 2021 r. pozostały bez odpowiedzi” – powiedział Deeg z Threatpost. „Mam nadzieję, że Zoom wkrótce naprawi ten problem i moją jedyną radą dla wszystkich użytkowników Zoom… jest ostrożność podczas korzystania z funkcji udostępniania ekranu i przestrzeganie surowej zasady „czystego wirtualnego pulpitu” podczas spotkań na Zoom.”
Threatpost skontaktował się z Zoom aby uzyskać komentarz na temat tej usterki oraz tego, czy zostanie ona naprawiona w nadchodzącej wersji- ma się ukazać 22 marca.
Oto wymijająca odpowiedź:
„Zoom traktuje wszystkie zgłoszenia luk w zabezpieczeniach poważnie” – powiedział Threatpost rzecznik Zoom. „Jesteśmy świadomi tego problemu i pracujemy nad jego rozwiązaniem”.