Google Project Zero揭露視訊會議平臺Zoom,存在零點擊(Zero-Click)漏洞,也就是說在沒有用戶參與的情況下,攻擊者就能夠利用漏洞接管裝置,甚至是破壞Zoom伺服器。Zoom這次被發現的兩個漏洞,分別是客戶端和多媒體路由(MMR)伺服器緩衝區溢位,還有MMR伺服器的資訊洩漏,這兩個漏洞在2021年11月24日,均已被官方修復。

Zoom是一個視訊會議平臺,在COVID-19大流行期間廣受歡迎,而這次是由Project Zero研究人員Natalie Silvanovich,對Zoom進行零點擊攻擊分析。Natalie Silvanovich過去在許多通訊平臺,包括Messenger、Signal、FaceTime、iMessage和Duo等,發現過零點擊漏洞和各種臭蟲。

Natalie Silvanovich提到,過去他認為針對Zoom的攻擊都需要用戶多次點擊介面,不像是其他視訊會議系統,由一方用戶撥打電話,其他用戶必須立即接受或拒絕,Zoom使用者需要提前安排會議,並透過電子郵件邀請,因此較沒有零點擊攻擊的疑慮。

不過最近駭客競賽Pwn2Own揭露了對Windows Zoom客戶端的零點擊攻擊,已經證實Zoom的確具備完全遠端攻擊面,因此Natalie Silvanovich便對Zoom客戶端軟體,進行了詳細的分析,而果真發現了兩個漏洞。

Zoom客戶端提供Zoom聯絡人功能,當使用者雙方互成為聯絡人,便可以啟用會議以外的通訊功能,要成為Zoom聯絡人,用戶雙方都必須要明確同意,在之後,就能開始互傳文字訊息,甚至是以類似電話的方式,撥打給其他用戶,讓其他用戶可以透過單擊介面,立刻進行對話。Natalie Silvanovich提到,這些要素代表了Zoom的確具有零點擊攻擊面。

不過此攻擊面僅適用於已經說服目標,接受他們成為聯絡人的攻擊者,因為只有Zoom聯絡人才能一鍵加入會議,其他使用者仍需要多次點擊才能進入會議。但Natalie Silvanovich也提到,即便需要多次點擊,說服目標加入Zoom通話其實也不難,尤其是有些組織使用Zoom的方式,可能導致一些特別的攻擊場景。

像是許多社群會舉辦公開的Zoom會議,Zoom提供付費網路研討會功能,因此一大群不知名的與會者,可以加入單向視訊會議,攻擊者就可能加入公開會議,並鎖定其他與會者。Zoom還仰賴伺服器來傳輸音訊和視訊串流,並且預設關閉端到端加密,攻擊者可能會破壞Zoom伺服器,並獲取會議資料的存取權限。

在這兩個漏洞中,最令Natalie Silvanovich擔憂的是MMR伺服器漏洞,因為該伺服器處理會議音訊和視訊內容,因此攻擊者有能力監控任何未啟用端到端加密的MMR伺服器會議。Natalie Silvanovich表示,雖然他尚未成功利用這些漏洞,但根據目前的調查,他相信只要進行足夠的研究,攻擊者就能夠進一步利用。

Natalie Silvanovich還發現MMR程序缺少位址空間組態隨機載入(ASLR)安全技術,而這大幅增加攻擊者破壞的可能性,他表示,整體而言,在Zoom中所發現的臭蟲,和Project Zero在其他視訊會議平臺找到的相去不遠,但伺服器的錯誤令人驚訝,而且還缺少ASLR和允許非端到端操作模式。

Natalie Silvanovich在研究Zoom的安全性時,遭遇到了一些障礙,因為Zoom是閉源軟體,不像使用開源軟體的視訊會議平臺容易被檢視,他在研究過程支付了約1,500美元的授權費用,並且因為Zoom使用許多專有的格式和介面,因此研究起來格外花時間,Natalie Silvanovich認為,這些他遭遇到的障礙,可能也代表著Zoom沒有獲得足夠的調查,或許會存在一些簡單但未被發現的錯誤。


熱門新聞

Advertisement