Zoom已經(jīng)有其一生中應(yīng)有盡有的網(wǎng)絡(luò)安全問題，而視頻會議應(yīng)用程序(和Alex Stamos)花了一段時間(和Alex Stamos)在由于Covid-19的必要工作而意外地流行之后，在安全方面穩(wěn)定了發(fā)展。家庭命令?，F(xiàn)在，它似乎仍然保留了一個嚴(yán)重的安全漏洞，該漏洞可能使威脅參與者有意利用此漏洞并進(jìn)行遠(yuǎn)程代碼執(zhí)行(RCE)攻擊來控制主機(jī)PC。該漏洞是由兩名Computest網(wǎng)絡(luò)安全研究人員在由零日倡議組織的近期Pwn2Own競賽中發(fā)現(xiàn)的。

為了使黑客工作，攻擊者首先需要與主機(jī)PC用戶屬于同一組織域，或者需要被主機(jī)允許加入會議–因此，如果沒有其他要求，則可以增加一層安全性。但是，安全和隱私倡導(dǎo)者清楚地知道，社交工程攻擊可以很明顯地突破障礙，例如假裝被盜身份以獲取參加私人會議的權(quán)限，盡管這完全代表了另一場網(wǎng)絡(luò)安全辯論。

但是，有了Zoom漏洞，一旦攻擊者參加會議，他們就可以執(zhí)行三個惡意軟件中繼的鏈，在目標(biāo)PC上安裝RCE后門。簡單來說，攻擊者可以訪問您的PC，隨后可以執(zhí)行遠(yuǎn)程命令，從而使他們可以訪問您的敏感文件。更令人震驚的是，攻擊者可以執(zhí)行所有這些操作，而無需任何用戶執(zhí)行任何操作，因此取消了可能會減慢此類攻擊可能性的附加交互層。