Bilgisayarınızı Ele Geçirebilecek Bu Zoom Açığına Dikkat Edin

Güvenlik araştırmacıları bilgisayarınızı ele geçirebilecek Zoom açığını deşifre etti. Bilgisayar korsanlarının, sizin izniniz olmadan bilgisayarınıza saldıracağı ve buna karşılık hiçbir şey yapamayacağınız ifade ediliyor. İşte Zoom'un korkutan güvenlik açığı.

Bir çift güvenlik araştırmacısı Zoom'da, kurban hiçbir şeye tıklamamış olsa bile, korsanların bilgisayarı ele geçirebileceği birkaç zero-day güvenlik açığını ortaya çıkardı. 

Zoom ise güvenlik açıklarını gidermek için sunucu tarafı bir güncelleme yayınladığını ve kullanıcıların ek bir işlem yapmasına gerek olmadığını doğruladı.

Güvenlik açıkları, Computest Security'den araştırmacı Daan Keuper ve Thijs Alkemade tarafından belirlendi. Pwn2Own 2021 bilgisayar korsanlığı yarışmasının bir parçası olarak tespit edilen açıklar, yarışmanın ifşa politikası nedeniyle pek fazla ayrıntıya sahip değil. 

Araştırmacılar, Zoom masaüstü uygulamasında uzaktan kod yürütme istismarını gerçekleştirmek için üç hata zinciri kullandılar. Saldırıya uğrayan bilgisayarın ele geçirmesi için kullanıcının herhangi bir şeye tıklamasına gerek yoktu. Hatayı aşağıdaki tweet'ten görebilirsiniz.

We're still confirming the details of the #Zoom exploit with Daan and Thijs, but here's a better gif of the bug in action. #Pwn2Own #PopCalc pic.twitter.com/nIdTwik9aW

— Zero Day Initiative (@thezdi) April 7, 2021

Bilgisayarınızı ele geçiren Zoom açığından nasıl korunursunuz?

Zoom'dan bir yanıt alan MalwareBytes Labs'e göre, saldırının gerçekleşmesi için hedefin aynı kurumsal hesabının parçası olması gerekiyor. Şirketin mesajlaşma platformu olan Zoom Chat'i özellikle etkilediği ifade edilen bu güvenlik açığının, Zoom toplantılarını ve Zoom video web seminerlerini tehdit etmediği belirtildi.

Zoom sözcüsü güvenlik açığıyla ilgili verdiği demeçte, "9 Nisan'da Pwn2Own'da gösterilen saldırıya karşı, grup mesajlaşma ürünümüz olan Zoom Chat'te sunucu taraflı bir güncelleme yayınladık" dedi ve şöyle devam etti:

"Bu güncelleme, kullanıcılarımızın herhangi bir işlem yapmasını gerektirmiyor. Altta yatan sorunları tam olarak ele almak için ek hafifletmeler üzerinde çalışmaya devam ediyoruz. Zoom ayrıca bir müşterinin bu sorunlar tarafından istismar edildiği bilgisini almış değil."

Zoom, çeşitli güvenlik açıkları nedeniyle geçen yıl da manşetlere taşınmıştı. Bunlar, uygulamanın güvenliği ve video görüşmelerinin yanı sıra kullanıcıları izleme ve dinleme olasılığıyla ilgiliydi. Ayrıca gerçekten destekleyip desteklemediğine dair çok fazla kafa karışıklığının ardından, uçtan uca şifrelemeyi başlattı.

Peki ya siz Zoom'daki güvenlik açıkları hakkında ne düşünüyorsunuz? Her gün yüzlerce görüşmenin gerçekleştiği platform kullanıcı verilerini korumayı gerçekten başarabiliyor mu? Görüşlerinizi yorumlar kısmından bizimle paylaşın.