Un hacker de l’ex-NSA abandonne un nouveau sort zéro pour Zoom

L’année troublée de Zoom s’est encore aggravée.

Maintenant qu’une grande partie du monde travaille à domicile pour vaincre la pandémie de coronavirus, la popularité de Zoom est montée en flèche, mais a également conduit à se concentrer davantage sur les pratiques de sécurité et les promesses de confidentialité de l’entreprise. Sur les talons de deux chercheurs en sécurité trouver un bug Zoom qui peut être utilisé abusivement pour voler des mots de passe Windows, un autre chercheur en sécurité a trouvé deux nouveaux bogues qui peuvent être utilisés pour prendre le contrôle du Mac d’un utilisateur Zoom, y compris en branchant la webcam et le microphone.

Patrick Wardle, un ancien hacker de la NSA et maintenant chercheur principal en sécurité chez Jamf, a laissé tomber les deux failles précédemment non révélées sur son blog mercredi, qu’il a partagé avec TechCrunch.

Les deux bogues, a déclaré Wardle, peuvent être lancés par un attaquant local – c’est là que quelqu’un a le contrôle physique d’un ordinateur vulnérable. Une fois exploité, l’attaquant peut obtenir et maintenir un accès persistant aux entrailles de l’ordinateur d’une victime, lui permettant d’installer des logiciels malveillants ou des logiciels espions.

Le premier bug de Wardle se superpose à une découverte précédente. Zoom utilise une technique «ombragée» – qui est également utilisé par les logiciels malveillants Mac – pour installer l’application Mac sans interaction de l’utilisateur. Wardle a découvert qu’un attaquant local disposant de privilèges utilisateur de bas niveau peut injecter le programme d’installation de Zoom avec du code malveillant pour obtenir le plus haut niveau de privilèges utilisateur, appelé «root».

Ces privilèges d’utilisateur au niveau racine signifient que l’attaquant peut accéder au système d’exploitation macOS sous-jacent, qui est généralement interdit à la plupart des utilisateurs, ce qui facilite l’exécution de logiciels malveillants ou de logiciels espions sans que l’utilisateur ne s’en rende compte.

Le deuxième bogue exploite une faille dans la façon dont Zoom gère la webcam et le microphone sur Mac. Le zoom, comme toute application qui a besoin de la webcam et du microphone, nécessite d’abord le consentement de l’utilisateur. Mais Wardle a déclaré qu’un attaquant peut injecter du code malveillant dans Zoom pour l’inciter à donner à l’attaquant le même accès à la webcam et au microphone que Zoom possède déjà. Une fois que Wardle a trompé Zoom pour charger son code malveillant, le code « héritera automatiquement » de tout ou partie des droits d’accès de Zoom, a-t-il dit – et cela inclut l’accès de Zoom à la webcam et au microphone.

« Aucune invite supplémentaire ne sera affichée, et le code injecté a pu enregistrer arbitrairement l’audio et la vidéo », a écrit Wardle.

Parce que Wardle a laissé tomber le détail des vulnérabilités sur son blog, Zoom n’a pas encore fourni de correctif. Zoom n’a pas non plus répondu à la demande de commentaire de TechCrunch.

En attendant, Wardle a déclaré: « Si vous vous souciez de votre sécurité et de votre vie privée, arrêtez peut-être d’utiliser Zoom. »

Peut-être que nous ne devrions pas utiliser le zoom après tout



Traduit de l’anglais de https://techcrunch.com/2020/04/01/zoom-doom/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.