Beim Hackerwettbewerb Pwn2own ist es Forschern gelungen, Malware bei Zoom auszuführen.
Den Hackern Daan Keuper und Thijs Alkemade, die dafür 200.000 US-Dollar Preisgeld gewannen, gelang es ohne jegliche Benutzerinteraktion aus der Ferne einen Schadcode über Zoom auszuführen. Insgesamt fanden sie gleich drei Sicherheitslücken.
Die Forscher konnten auf den geschädigten Rechner das Taschenrechnerprogramm öffnen. Sowohl auf Windows und unter macOS soll es funktionieren, auf iOS und Android wurde es noch nicht getestet.
Zoom räumt die Ergebnisse ein und erklärt dazu:
„Als Best Practice empfiehlt Zoom allen Nutzern, nur Kontaktanfragen von Personen zu akzeptieren, die sie kennen und denen sie vertrauen.“
Dem Forscher Jack Dates gelang es im Rahmen der gleichen Veranstaltung auch, Safari zu hacken. Auch er erhielt 100.000 US-Dollar.
Auch in Chrome und Microsoft Exchange Server wurden Sicherheitslücken entdeckt. Eine Übersicht der gehackten Systeme gibt es hier:
- Safari
- Microsoft Exchange
- Windows 10
- Ubuntu
- Parallels
- Chrome
- Microsoft Edge
- Microsoft Exchange
- Zoom