Nederlandse hackers vinden groot lek in Zoom

Vrouw zit achter haar laptop voor een Zoom meeting

De ethische hackers Daan Keuper en Thijs Alkemade hebben een grote kwetsbaarheid in het videobelprogramma Zoom gevonden. Daarmee is het mogelijk om de computer van een ander over te nemen en malware te installeren. Met hun ontdekking wonnen ze de hackwedstrijd Pwn2Own en mogen ze 200.000 dollar op hun rekening bijschrijven. Zoom heeft negentig dagen de tijd om het lek te verhelpen.

Diverse media schrijven over de prestatie van de ethische hackers, waaronder RTL Nieuws.

Dit moet je weten over Pwn2Own

Dit jaar vond de veertiende editie van de bekende hackwedstrijd Pwn2Own plaats. Grote technologiebedrijven nodigen ethische hackers uit om hun producten en diensten te testen om beveiligingsproblemen of andere kwetsbaarheden aan het licht te brengen. Als hackers erin slagen om een succesvolle demonstratie te geven van een zwakheid, kan ze dat een aardig zakcentje opleveren. De beloningen kunnen oplopen tot enkele tonnen.

Omdat werkenden we door de coronapandemie gedwongen worden om hun werk zoveel mogelijk van thuis uit te doen, vond de organisatie het een goed idee om een nieuwe categorie aan de line-up toe te voegen: video conferencing. Zodoende kwam Zoom in beeld. Naast Zoom namen ook technologiebedrijven als Microsoft, Tesla en Adobe deel aan het evenement. De hackwedstrijd werd, net als afgelopen jaar, op afstand georganiseerd.

Computers kapen via Zoom

In het dagelijkse leven werken Keuper en Alkemade voor cybersecuritybedrijf Computest. Zij besloten om deel te nemen aan Pwn2Own. Ze kozen ervoor om de software van Zoom binnenstebuiten te keren. Beiden kenden het programma niet, maar dat was voor hen geen obstakel. Tegenover RTL Nieuws vertellen de ethische hackers dat het vinden van een beveiligingslek niet de grootste uitdaging is: het vinden van een betrouwbare methode waardoor je deze keer-op-keer kunt misbruiken, dat is de kunst. Dat laatste heeft ze ongeveer anderhalve maand gekost.

De Nederlandse hackers vonden een methode om via Zoom de computer van een ander over te nemen. Foto’s en video’s bekijken, je computergebruik monitoren, bestanden kopiëren, gijzelsoftware of andere malware installeren: kwaadwillenden kunnen doen en laten wat ze willen als ze eenmaal de controle over andermans computer hebben. Het gevaarlijke aan dit lek is dat gebruikers niets hoeven te doen: hackers kunnen deze exploit zonder hulp uitbuiten.

Lek werkt op Windows en MacOS

Hoe het lek precies werkt en in elkaar steekt, mogen Keuper en Alkemade niet zeggen. Zoom heeft het lek nog niet gedicht. Nu de details onthullen over het beveiligingsprobleem zou miljoenen Zoom-gebruikers in gevaar brengen. Zoom krijgt negentig dagen de tijd om het lek te dichten. Gezien de ernst verwachten de hackers niet dat de ontwikkelaars van het videobelprogramma zoveel tijd nodig hebben.

Wat de ethische hackers wel kunnen zeggen, is dat het lek zowel op Windows als MacOS werkt. Of het lek ook in de Android- en iOS-applicatie zit, is onduidelijk. Dat hebben Keuper en Alkemade niet onderzocht. Ze verwachten dat Zoom daar de komende tijd zeker naar gaat kijken.

Zoom is niet ineens onveilig

Zoom-gebruikers hoeven zich geen zorgen te maken dat het programma Zoom onveilig is. “Alleen wij en Zoom weten van dit lek”, vertellen ze tegenover RTL Nieuws. “Het gaat er vooral om hoe een bedrijf ermee omgaat.” Als voorbeeld noemen ze de besturingssystemen van Microsoft en Apple. “Windows en MacOS rollen elke maan updates uit die lekken dichten. Dat Zoom meedoet aan Pwn2Own, laat zien dat ze hun beveiliging serieus nemen.”

Wel hebben ze een tip voor gebruikers: als er een update voor Zoom voorbijkomt, installeer deze dan zo snel mogelijk. “Het installeren van de laatste updates is altijd een goede maatregel om criminele hackers buiten de deur te houden”, vertellen ze.

Dit gaan de ethische hackers doen met het prijzengeld

Met hun ontdekking wonnen Keuper en Alkemade de hoofdprijs van 200.000 dollar, omgerekend zo’n 168.000 euro. Tegenover RTL Nieuws zeggen ze een deel van het prijzengeld in de onderzoeksafdeling waar ze werken te investeren. Daarvan gaan ze nieuwe onderzoeken financieren om de digitale samenleving veiliger te maken. Het restant mogen ze uitgeven aan hun hobby.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen