今年以来,Zoom日活跃用户已经超过2亿人,与去年年底相比翻了20倍。但黑客和安全研究人员在zoom客户端中发现了一系列的安全问题。3月底,在被爆收集和发送设备信息到Facebook服务器后,Zoom从iOS app版本中移除了Facebook SDK。4月,有黑客在暗网论坛出售超过50万的Zoom账户,差不多一个账号0.00014元,1分钱能买71个。Zoom修复了一个macOS客户端的安全漏洞,攻击者利用该漏洞可以窃取用户的Windows NTLM凭证来远程启动可执行文件。
Zoom 0 day漏洞
近日,又有黑客在暗网出售影响Zoom Windows客户端的0 day远程代码执行漏洞利用代码,售价为50万美元。同时还附送一个Zoom macOS客户端的漏洞滥用代码。
这样的漏洞利用是没有固定价格的,国外漏洞交易平台Zerodium对此类漏洞利用的报价为2000到250万美元,具体价格根据受影响的软件或系统的流行程度、安全等级,以及提交的漏洞利用的质量不同而不同。
目前漏洞利用和源码还没有公开,熟悉0 day漏洞利用市场的相关人士介绍称,已有漏洞交易代理商业与之联系购买漏洞。漏洞交易平台Netragard创始人Adriel Desautels称出售的2个0 day漏洞一个影响macOS,另一个影响Windows系统。
Windows 0 day漏洞是一个远程代码执行漏洞,攻击者利用该漏洞可以在受影响的系统上远程执行任意代码,与其他漏洞组合可以完全控制设备。有知情人士称50万美元的价格是公正的,因为该漏洞可以用于大规模监控。该漏洞要求潜在攻击者与目标在同一会话中,这就减少了购买漏洞的黑客的范围。也有匿名知情人士称,该漏洞的价格应该降低一半。
MacOS漏洞利用并不是一个远程代码执行漏洞,因此其危险性并没有Windows 0 day漏洞高,而且很难用于现实的攻击场景中。
Zoom回应
Zoom发表声明称,Zoom非常重视用户安全和隐私。在听到这些“谣言”后,Zoom安全团队就与其他知名安全公司开展合作,但截至目前尚未发现相关的安全漏洞。
此外,月初,Zoom还加入了一个Waiting Room(等候室)的功能,实现对要加入会议的参与者的控制,而且在安排会议时要输入口令,并且在标题中移除了会议的meeting ID。
近几个月来,美国5G带宽可用性已显著扩展和加速,为早期部署者提供技术、财务和...
备预不虞,为国常道,今年的4月15日是第五个全民国家安全教育日。在这个特殊的开...
苹果已经解决了三个iOS 0 day漏洞,这些漏洞在在野攻击中经常被利用,从而对iPho...
拐点,是个数学上的术语,它是指改变曲线向上或向下方向的点,直观地说就是过了...
YouTube-dl事件刚刚过去不久,GitHub又登上了Hacker News榜首。 原因是其源代码...
区块链作为一种分布式账本技术,以其多方共识、分布式存储、难以篡改等特点,在...
比特币的价值在历史上一直很不稳定。例如,在截至2021.2月1~7日的7天内,在这期...
BetterCloud最近的一项调查发现,企业平均使用80个单独的第三方云应用程序来实现...
目前,一枚比特币价值近 22 万人民币。对于刚入圈的新人来说,肯定很关心比特币...
在数字时代,对安全性的需求比以往任何时候都高,因为我们大多数人将很大一部分...