La plupart des hacks nécessitent à la victime de cliquer sur le mauvais lien ou d’ouvrir la mauvaise pièce jointe. Mais alors que les vulnérabilités dites « zéro clic » – dans lesquelles la cible ne fait rien du tout – sont de plus en plus exploitées, Natalie Silvanovich de l’équipe de chasse aux bogues Project Zero de Google a travaillé pour trouver de nouveaux exemples et les corriger avant que les attaquants ne puissent les utiliser. . Sa liste comprend désormais Zoom, qui avait jusqu’à récemment deux défauts alarmants et sans interaction qui se cachent à l’intérieur.
Bien que corrigées maintenant, les deux vulnérabilités auraient pu être exploitées sans aucune implication de l’utilisateur pour prendre le contrôle de l’appareil d’une victime ou même compromettre un serveur Zoom qui traite les communications de nombreux utilisateurs en plus de celles de la victime d’origine. Les utilisateurs de Zoom ont la possibilité d’activer le cryptage de bout en bout pour leurs appels sur la plate-forme, ce qui empêcherait un attaquant disposant d’un accès au serveur de surveiller leurs communications. Mais un pirate pourrait toujours avoir utilisé l’accès pour intercepter les appels dans lesquels les utilisateurs n’ont pas activé cette protection.
« Ce projet m’a pris des mois, et je n’ai même pas réussi à mener l’attaque complète, donc je pense que cela ne serait disponible que pour les attaquants très bien financés », déclare Silvanovich. « Mais je ne serais pas surpris si c’est quelque chose que les attaquants essaient de faire. »
Silvanovich a découvert des vulnérabilités sans clic et d’autres failles dans un certain nombre de plates-formes de communication, notamment Facebook Messenger, Signal, FaceTime d’Apple, Google Duo et iMessage d’Apple. Elle dit qu’elle n’avait jamais beaucoup réfléchi à l’évaluation de Zoom, car la société a ajouté de nombreuses notifications contextuelles et d’autres protections au fil des ans pour s’assurer que les utilisateurs ne rejoignent pas involontairement les appels. Mais elle dit qu’elle a été inspirée pour enquêter sur la plate-forme après qu’une paire de chercheurs a démontré une vulnérabilité Zoom zéro clic lors du concours de piratage Pwn2Own 2021 en avril.
Silvanovich, qui a initialement divulgué ses découvertes à Zoom début octobre, affirme que la société a été extrêmement réactive et a soutenu son travail. Zoom a corrigé la faille côté serveur et a publié des mises à jour pour les appareils des utilisateurs le 1er décembre. La société a publié un bulletin de sécurité et a déclaré à WIRED que les utilisateurs devraient télécharger la dernière version de Zoom.
La plupart des services de vidéoconférence grand public sont basés au moins en partie sur des normes open source, explique Silvanovich, ce qui facilite leur vérification par les chercheurs en sécurité. Mais FaceTime et Zoom d’Apple sont tous deux entièrement propriétaires, ce qui rend beaucoup plus difficile l’examen de leur fonctionnement interne et la recherche potentielle de défauts.
« L’obstacle à la réalisation de cette recherche sur Zoom était assez élevé », dit-elle. « Mais j’ai trouvé des bugs sérieux, et parfois je me demande si une partie de la raison pour laquelle je les ai trouvés et d’autres non est cet énorme obstacle à l’entrée. »
Vous rejoignez probablement les appels Zoom en recevant un lien vers une réunion et en cliquant dessus. Mais Silvanovich a remarqué que Zoom offre en fait une plate-forme beaucoup plus étendue dans laquelle les gens peuvent convenir mutuellement de devenir des « contacts Zoom », puis de s’envoyer des messages ou de s’appeler via Zoom de la même manière que vous appelez ou envoyez un SMS au numéro de téléphone de quelqu’un. Les deux vulnérabilités trouvées par Silvanovich ne peuvent être exploitées que pour des attaques sans interaction lorsque deux comptes se sont mutuellement dans leurs contacts Zoom. Cela signifie que les principales cibles de ces attaques seraient les personnes qui sont des utilisateurs actifs de Zoom, soit individuellement, soit par le biais de leurs organisations, et qui sont habituées à interagir avec Zoom Contacts.