zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Nederlandse hackers nemen laptops over door ernstige kwetsbaarheden in Zoom

Daan Keuper en Thijs Alkemade van Computest Security winnen 200.000 USD tijdens prestigieuze, internationale hackerswedstrijd

12 april 2021 - Twee Nederlandse ethische hackers van Computest Security, Daan Keuper en Thijs Alkemade, hebben ernstige kwetsbaarheden gevonden in Zoom. Door het misbruiken van de kwetsbaarheden is de laptop of pc van een gebruiker over te nemen, vrijwel zonder dat de gebruiker betrokken hoeft te zijn, laat staan het doorheeft.

De bevindingen van Keuper en Alkemade zijn van dusdanig belang dat ze deze mochten presenteren tijdens de prestigieuze hackerswedstrijd Pwn2Own, onderdeel van de security-conferentie CanSecWest. Zoom beloonde de vondst met een zogenaamde ‘bug bounty’ van 200.000 dollar. 


 
Zero-day kwetsbaarheden
Tijdens hun onderzoek naar Zoom vonden Keuper en Alkemade een aantal zogeheten zero-day kwetsbaarheden in de Zoom client. Deze wordt door gebruikers op een PC of laptop geïnstalleerd om van de video-conferencing dienst gebruik te kunnen maken. De hackers van Computest Security zijn erin geslaagd willekeurige code uit te voeren op verschillende systemen van diverse geselecteerde slachtoffers die hun medewerking verleenden. Ze waren vervolgens in staat om het systeem vrijwel helemaal over te nemen en acties uit te voeren zoals de camera aanzetten, microfoon aanzetten, e-mails lezen, meekijken op het scherm en de browsergeschiedenis downloaden. Hiervoor was geen gebruikersinteractie nodig vanuit de kant van het slachtoffer.
Keuper: "Zoom lag natuurlijk vorig jaar al onder vuur vanwege de nodige kwetsbaarheden. Daarbij ging het vooral om de veiligheid van de toepassing zelf, en het mogelijk meekijken en -luisteren met de video-calls. Onze ontdekkingen gaan echter verder. Door kwetsbaarheden in de client waren we in staat het hele systeem van gebruikers over te nemen. Een serieus privacy-issue waarmee we ons hebben gekwalificeerd voor deelname aan Pwn2Own en uiteindelijk hebben gewonnen."
 
Tools voor thuiswerken aantrekkelijk doelwit
De hackers van Computest Security mochten hun bevindingen presenteren tijdens de internationale hackerswedstrijd Pwn2Own, onderdeel van security-conferentie CanSecWest. Veel grote techbedrijven als Microsoft, Adobe en Tesla doen al langer mee aan Pwn2Own om hun oplossingen te laten onderwerpen aan de beproevingen van ethisch hackers. Aangezien mensen door de pandemie massaal zijn gaan thuiswerken door en tools die daarbij gebruikt worden een aantrekkelijk doelwit zijn geworden voor hackers, heeft de organisatie dit jaar de nieuwe categorie Enterprise Communications toegevoegd. Daarbij stond Zoom voor het eerst als onderdeel op het programma. 
 
Beloning voor ethische hackers
Rode draad van de wedstrijd is het binnen zeer beperkte tijd overnemen van systemen door middel van kwetsbaarheden die nog niet bekend zijn (zero-day). Wanneer blijkt dat de kwetsbaarheden inderdaad onbekend zijn en het belang van de vondst groot genoeg is, maken de hackers kans op beloningen. Zoom loofde 200.000 USD uit voor de ethische hackers die daadwerkelijk een kwetsbaarheid wisten te vinden. Keuper deed al eens eerder mee in 2012 en mocht zijn hack van een iPhone toen op het internationale podium presenteren. Daarmee sleepte hij een prijs van 30.000 euro in de wacht. 
 Om kwetsbaarheden die een groot maatschappelijk belang hebben te onderzoeken, heeft Computest Security een eigen onderzoekslab ingericht; Sector 7. "Met een eigen lab willen we niet alleen de innovatie binnen het bedrijf stimuleren en laten zien dat we de beste hackers in huis hebben, maar ook zorgen voor meer security-bewustzijn in de hele keten," vertelt Chris Hazewinkel, CEO van Computest Security. "Steeds meer zakelijke en consumentenproducten zijn connected. Door het gebruiksgemak worden deze ook massaal geadopteerd. Zoals we ook met ons eerdere onderzoek naar IoT-security in de automotive sector hebben gezien, laat het beveiligingsniveau vaak nog te wensen over. Het blootleggen van dit soort kwetsbaarheden in Zoom geeft ook aan dat organisaties in elke situatie kritisch moeten zijn bij het ingebruiknemen van nieuwe tools." 
 
 
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Nederlanders in door corona getroffen sectoren hebben weinig interesse in omscholing naar techniek
 COVID-19 debet aan stijging politieke risico’s in thuislanden Nederlandse handelspartners
 40 procent van de jonge werknemers staat al met één been buiten
 

Gerelateerde nieuwsitems

 Ik ben gehackt. Wat nu?
 Hackers haken dankbaar in op COVID-19
 Cybercriminelen zoeken gericht naar kwetsbaarheden in routers en IoT-apparatuur thuiswerkers
 Dit zijn de winnaars van de Nederlandse coronahackathon Hack the Crisis
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
advertorial
Stappenplan voor automatische e-mail campagnes
Door termen als triggers, leadscoring, notificaties, koppelingen, vullingsgraad zie je door de bomen het bos niet meer op het gebied van e-mail marketing automation. In dit white paper legt Spotler al die termen en de voordelen ervan uit. Inclusief handige woordenlijst.
Download het white paper
Lees verder
Hoe verzamel je met gewijzigd cookie beleid de juiste data?
reacties
Vakantiegeld is dit jaar bonus in plaats van vakantiebudget (2) 
Van 1001 wachtwoorden naar nul? (1) 
Nissan NV200 (1) 
Vertrouwen van managers in medewerkers tijdens thuiswerken is groot (1) 
Koffie halen kan bron van conflict zijn (1) 
Aandelen weer in de gunst  (1) 
Jongeren willen weer zeeman worden (1) 
top10
Verbeter uw supply chain, verbeter uw klantervaring
Intelligente Automatisering nieuwste trend, maar finance professional heeft geen idee wat het is
Vertrouwen van managers in medewerkers tijdens thuiswerken is groot
Werkende prefereert goed luchtreinigingssysteem boven coronavaccinatie
Vier tips voor een digitale lenteschoonmaak voor uw foto’s en video’s
Vakantiegeld is dit jaar bonus in plaats van vakantiebudget
World Password Day stond stil bij wachtwoordbeheer
Vijf tips om persoonsgegevens te beschermen tegen dark web-cybercriminelen
De cyberdreiging van vaccinaties
Covid, cyber, compliance en ESG zijn de grootste risico's voor de financiële dienstensector
meer top 10