Tato chyba byla objevena bezpečnostním výzkumníkem z Google Project Zero, který ji označil jako "XMPP Stanza Smuggling". XMPP je standard pro komunikaci v reálném čase, na kterém je založena chatovací funkce Zoomu. Výzkumník zjistil, že klient i server používají různé XML parsery pro zpracování XMPP zpráv, což umožňuje útočníkovi “prosmuglovat” libovolné XMPP elementy, až se dostane ke své oběti.

Takže by útočník mohl například vynutit změnu serveru, ke kterému se klient připojuje, a přesměrovat ho na škodlivý server pod jeho kontrolou. Tím by se mohl vydávat za jiného uživatele Zoomu, posílat mu falešné zprávy nebo ho pozvat do videohovoru. Ale i ovlivnit mechanismus aktualizace softwaru a donutit klienta stáhnout starší a méně bezpečnou verzi Zoomu, která obsahuje další zranitelnosti.

Tato chyba ovlivňuje všechny verze Zoomu pro Android, iOS, Linux, macOS a Windows. Útočníci by ji mohli využít k provedení útoku na nulu kliknutí, což značí, že oběť nijak útok neovlivní ani ničím nechtěně nepřispěje. Stačí, že je online a používá Zoom.

Zdroj: Shutterstock

Samotný Zoom reagoval na tuto chybu tím, že vydal opravnou aktualizaci (5.10.0), která by měla zabránit tomuto typu útoku. Uživatelům aplikace se doporučuje aktualizovat na nejnovější verzi co nejdříve, aby minimalizovali riziko potenciálního zneužití.

Tato chyba není prvním bezpečnostním problémem, se kterým se Zoom potýkal. V minulosti byl také kritizován za nedostatečné šifrování, špatné ochrany proti nevyžádaným hostům (tzv. Zoom bombing), nejasné zásady ochrany osobních údajů a další nedostatky. Většina těchto problémů byla odstraněna nebo zmírněna od jara 2020, ale občas se objevují nové problémy.

Stále je bezpečnější se připojovat k hovorům na Zoomu prostřednictvím webového prohlížeče namísto desktopové aplikace. Webová verze dostává bezpečnostní vylepšení rychleji a “sedí v sandboxu”, což omezuje bezpečnostní problémy, alespoň to tvrdí antivirová společnost Kaspersky. Když kliknete na odkaz k připojení k hovoru, váš prohlížeč otevře novou kartu a vyzve vás k použití nebo instalaci desktopové aplikace Zoomu. Ale je tam menší odkaz na “připojit se z vašeho prohlížeče”, což je dnes rozhodně nejbezpečnější varianta.