黑客50万美元出售Zoom 0 day漏洞
文章图片
今年以来 , Zoom日活跃用户已经超过2亿人 , 与去年年底相比翻了20倍 。 但黑客和安全研究人员在zoom客户端中发现了一系列的安全问题 。 3月底 , 在被爆收集和发送设备信息到Facebook服务器后 , Zoom从iOSapp版本中移除了FacebookSDK 。 4月 , 有黑客在暗网论坛出售超过50万的Zoom账户 , 差不多一个账号0.00014元 , 1分钱能买71个 。 Zoom修复了一个macOS客户端的安全漏洞 , 攻击者利用该漏洞可以窃取用户的WindowsNTLM凭证来远程启动可执行文件 。
Zoom0day漏洞
近日 , 又有黑客在暗网出售影响ZoomWindows客户端的0day远程代码执行漏洞利用代码 , 售价为50万美元 。 同时还附送一个ZoommacOS客户端的漏洞滥用代码 。
这样的漏洞利用是没有固定价格的 , 国外漏洞交易平台Zerodium对此类漏洞利用的报价为2000到250万美元 , 具体价格根据受影响的软件或系统的流行程度、安全等级 , 以及提交的漏洞利用的质量不同而不同 。
目前漏洞利用和源码还没有公开 , 熟悉0day漏洞利用市场的相关人士介绍称 , 已有漏洞交易代理商业与之联系购买漏洞 。 漏洞交易平台Netragard创始人AdrielDesautels称出售的2个0day漏洞一个影响macOS , 另一个影响Windows系统 。
Windows0day漏洞是一个远程代码执行漏洞 , 攻击者利用该漏洞可以在受影响的系统上远程执行任意代码 , 与其他漏洞组合可以完全控制设备 。 有知情人士称50万美元的价格是公正的 , 因为该漏洞可以用于大规模监控 。 该漏洞要求潜在攻击者与目标在同一会话中 , 这就减少了购买漏洞的黑客的范围 。 也有匿名知情人士称 , 该漏洞的价格应该降低一半 。
MacOS漏洞利用并不是一个远程代码执行漏洞 , 因此其危险性并没有Windows0day漏洞高 , 而且很难用于现实的攻击场景中 。
【黑客50万美元出售Zoom 0 day漏洞】Zoom回应
Zoom发表声明称 , Zoom非常重视用户安全和隐私 。 在听到这些“谣言”后 , Zoom安全团队就与其他知名安全公司开展合作 , 但截至目前尚未发现相关的安全漏洞 。
此外 , 月初 , Zoom还加入了一个WaitingRoom(等候室)的功能 , 实现对要加入会议的参与者的控制 , 而且在安排会议时要输入口令 , 并且在标题中移除了会议的meetingID 。
推荐阅读
- 支付宝、微信未必安全?手机出现这3种征兆,你或许已被黑客监听
- 对华挑衅,白宫欲对台出售武器,国台办外交部发声,信号强烈
- 解读《增长黑客实战》|如何搭建增长黑客团队?增长黑客实战如何开始?
- 《黑道圣徒 3》重制版发售当日:遭黑客破解
- 意天空:那不勒斯可能通过出售库利巴利等,筹集2亿欧元
- 2013年科比投资某运动饮料500万美元,7年了,赚了还是赔了?
- 菲律宾第二个“冤大头”?美批准对菲出售的武直单价超过F35
- 连网络攻击都防不了?日本研发高超音速导弹,结果被黑客全泄露了
- 弹幕刷屏、被黑客攻击,网友自发配字幕,这批老档案为什么爆红?
- 什么叫做“为人民服务”?大统领每季度捐出10万美元就是最好回答