Tijekom 2020. godine aplikacije za videokonferencije poput Zooma i Microsoft Teamsa odjednom su dobile na popularnosti. Koristilo ih se za školovanje, posao, druženje s prijateljima, kontaktiranje s članovima obitelji. No, da te aplikacije (posebno Zoom) imaju problema sa sigurnošću pokazali su slučajevi "upada" u razgovore, prekidanja nastave i sastanaka i slično.
Koliko su zapravo te aplikacije sigurne ili ne, željeli su pokazati profesionalni hakeri koji su u sklopu natjecanje Pwn2Own trebali pronaći ranjivosti u te dvije aplikacije. Hakeri koji su na kraju osvojili čak 400 tisuća dolara za otkrivanje ranjivosti pokazali su koliko je zapravo jednostavno i lako preuzeti kontrolu nad tuđim računalom koristeći aplikaciju za videopozive.
And the Master of Pwn is.....
— Zero Day Initiative (@thezdi) April 8, 2021
A tie!
Congrats to Team DEVCORE, OV, and Daan Keuper and Thijs Alkemade. All are considered Master of Pwn and receive Platinum status next year. Thanks again to all who participated. It was an amazing contest, & we couldn't have don it without you. pic.twitter.com/IuCbdMCU17
Posebnu pozornost pobudili su svojim napadom na Zoom, jer su otkrili ranjivost koja od žrtve nije tražila nikakvo klikanje na zaražene linkove, a omogućila je hakerima da uđu u računalo i na njega instaliraju programe po vlastitoj želji. Kako se ipak radilo o etičkim hakerima, nizozemci Daan Keuper i Thijs Alkemade iz Computesta, samo su aktivirali aplikaciju kalkulatora na računalu kako bi pokazali da su preuzeli kontrolu.
Pojasnili su kako su iskoristili tri različita sigurnosna propusta u Zoom messengeru kako bi upali u sustav.
Slično je napravio i haker OV kako bi aktivirao kod u Microsoft Teamsu, što mu je osiguralo nagradu od 200 tisuća dolara.
Grupa hakera okupljenih u DEVCORE timu, pronašli su ranjivost u sustavu autentifikacije koja im je omogućila da u potpunosti preuzmu kontrolu nad Microsoftovim Exchange serverom. S obzirom na to da je Microsoft već imao problema sa upadom hakera na njihove Exchange servise, problem očito i dalje postoji i bit će potrebna brza reakcija Microsoftovih sigurnosnih stručnjaka ne bi li se ti propusti riješili.
Inače, svi sigurnosni propusti koji su otkriveni tijekom ovog natjecanja prijavljeni su tvrtkama čije su se aplikacije odnosno programi našli na udaru te detaljni opisi neće biti javno objavljeni dok se ti propusti ne poprave.
