ضبط جلسات Zoom بدون اطلاع کاربران از طریق آسیب‌پذیری جدید این برنامه

طی چند هفته اخیر محققان امنیتی در آزمایشگاه Morphisec آسیب‌پذیری جدیدی در برنامه Zoom که ابزاری برای برگزاری کنفرانس‌های ویدئویی است، کشف کردند. این آسیب‌پذیری مهاجم را قادر می‌سازد تا بدون اطلاع هیچ یک از شرکت‌کنندگان در جلسه، جلسه‌ی Zoom را ضبط کرده و مکالمات متنی آنها را ذخیره کند. این امکان با وجود غیرفعال کردن گزینه ضبط جلسه توسط شرکت‌کنندگان، نیز برای مهاجم وجود دارد.
نقطه شروع، بدافزاری است که خود را بدون نیاز به تعامل با کاربر یا فعال بودن ضبط جلسه، به فرآیند برنامه Zoom تزریق می‌کند. هیچ یک از شرکت‌کنندگان از ضبط و کنترل کامل جلسه توسط این بدافزار اطلاع پیدا نمی‌کنند.
در ادامه سناریو حمله در شش مرحله و در حالیکه هر دو قربانی و مهاجم از آخرین نسخه برنامه Zoom استفاده می‌کنند و همه‌ی گزینه‌های امنیتی از جمله آنتی ویروس فعال است، شرح داده شده است:
1. قربانی برای مهاجم لینک دعوت به جلسه را ارسال می‌کند.
2. مهاجم دعوت را پذیرفته و به جلسه Zoom می‌پیوندد.
3. قربانی از طریق گزینه chat پیامی به حاضرین در جلسه ارسال می‌کند. حالا مهاجم هم می‌تواند از همین طریق به ارسال و دریافت پیام متنی بپردازد.
4. مهاجم از قربانی درخواست ضبط جلسه دارد اما قربانی درخواست را رد کرده و گزینه ضبط جلسه توسط شرکت‌کنندگان را غیرفعال می‌کند.
5. با این حال مهاجم با اجرای کد مخرب که از آسیب‌پذیری جدید برنامه بهره می‌برد، ضبط جلسه را بدون اطلاع شرکت‌کنندگان آغاز می‌کند. لازم به ذکر است که در حالت عادی زمانیکه هر یک از شرکت‌کنندگان در حال ضبط جلسه باشند، برنامه با علائم مشخصی به دیگران اطلاع‌رسانی می‌کند.
6. پس از خاتمه جلسه، بدافزار، برنامه Zoom را به نحوی دستکاری می‌کند که نسخه ضبط شده‌ی جلسه در موقعیت دلخواه مهاجم ذخیره شود. در انتها مهاجم نسخه کامل و رمزگشایی شده‌ی جلسه را شامل مکالمات متنی، ویدئوهای به اشتراک گذاشته شده و غیره در اختیار خواهد داشت.
بدیهی است که هر فردی می‌توان با استفاده از دیگر ابزارهای موجود جهت ضبط صفحه نمایش، یک جلسه Zoom را ضبط کند اما این بدافزار حتی زمانیکه برنامه Zoom، minimize شده است قادر به ضبط جلسه و تمام آنچه در آن رخ می‌دهد، است. درنتیجه برنامه Zoom می‌تواند به عنوان نوعی RAT که توسط آنتی ویروس های معمول نیز قابل شناسایی نیست، برای تحت کنترل گرفتن از راه دور سیستم توسط مهاجم مورد بهره‌برداری قرار بگیرد.
بیش از 500 هزار حساب کاربری Zoom در دارک وب در حال خرید و فروش است و این موضوع خطر و احتمال جاسوسی در جلسات Zoom توسط مهاجمان را افزایش می‌دهد. با این حال این آسیب‌پذیری به اطلاع سازنده‌ی برنامه Zoom رسیده است و تا به این لحظه به‌روزرسانی برای رفع آن منتشر نشده است.
منبع:

https://blog.morphisec.com/zoom-malware-can-record-meetings-attack-simulation-shows-how