Nederlanders Daan Keuper en Thijs Alkemade hebben een ernstige kwetsbaarheid blootgelegd in videobel-app Zoom, waardoor ze bij bellers konden meekijken en de computer overnemen. De ethische hackers wonnen daarmee 200.000 dollar in een internationale hackwedstrijd.

Pwn2Own is een jaarlijkse hackwedstrijd waarbij deelnemers worden uitgedaagd om kwetsbaarheden in computerprogramma’s, browsers en servers op te sporen. De wedstrijd wordt sinds 2005 georganiseerd door Zero Day Initiative (ZDI) met als doel softwareleveranciers te helpen hun beveiligingsrisico’s te dichten door daar een financiële beloning tegenover te stellen. De wedstrijd werd dit jaar gehouden tijdens de security-conferentie CanSecWest.

Hele computer overgenomen
Hackers Daan Keuper (33) en Thijs Alkemade (31) van het Nederlandse IT-beveiligingsbedrijf Computest slaagden erin om in te breken in het videobelplatform Zoom. De client die de gebruiker op zijn laptop of pc installeert bleek dusdanig kwetsbaar, dat zij de computer van de Zoom-beller konden overnemen, zonder dat die daar iets van merkt. Vervolgens konden de hackers niet alleen meekijken met het videobelgesprek, maar daarna ook acties uitvoeren zoals de camera en microfoon aanzetten, e-mails lezen, meekijken op het scherm en de browsergeschiedenis van de gebruiker downloaden.

Daan Keuper op de website van Computest: “Zoom lag natuurlijk vorig jaar al onder vuur vanwege de nodige kwetsbaarheden. Daarbij ging het vooral om de veiligheid van de toepassing zelf, en het mogelijk meekijken en -luisteren met de video-calls (zie ook ons eerdere bericht over gelekte Zoom-data, red.). Onze ontdekkingen gaan echter verder. Door kwetsbaarheden in de client waren we in staat het hele systeem van gebruikers over te nemen. Een serieus privacy-issue waarmee we ons hebben gekwalificeerd voor deelname aan Pwn2Own en uiteindelijk hebben gewonnen.”

Zoom participants

De deelnemers delen hun onderzoek met de bedrijf dat ze ‘aanvallen’ en zo gaat Zoom nu aan de slag met de kwetsbaarheid. De verwachting is dat het lek snel verholpen zal worden. Voor wie Zoom gebruikt, is het dus zaak om de eerstkomende update in de gaten te houden.

Teams en Safari
Grote techbedrijven sponsoren de jaarlijkse hackwedstrijd en niet voor niets: voortdurend blijken er gaten te zitten in hun programmatuur. Zo won ene Jack Dates deze week een ton door een kwetsbaarheid in Apple-browser Safari bloot te leggen en combineerde hacker ‘OV’ verschillende al bestaande bugs om code te herschrijven in Microsoft Teams. Meer ethische hacks van Pwn2Own vind je hier.