Nederlandse hackers Daan Keuper en Thijs Alkemade hebben een kwetsbaarheid in Zoom ontdekt tijdens Pwn2own. Met deze kwetsbaarheid kunnen de systemen van Zoom-gebruikers worden overgenomen. De hackers ontvangen 200.000 dollar voor de ontdekking.

Keuper en Alkemade, die werken voor cybersecuritybedrijf Computest, combineerden drie kwetsbaarheden om op afstand code op een systeem uit te voeren tijdens de tweede dag van de Pwn2Own-competitie. De kwetsbaarheden vereisen geen interactie van het slachtoffer. De organisatie van Pwn2Own publiceerde op woensdag een gif van de kwetsbaarheid in actie.

De kwetsbaarheid zit in de Windows- en macOS-versies van Zoom. De browserversie van het videobelplatform kampt niet met de kwetsbaarheid. Het is nog niet duidelijk of de iOS- en Android-apps ook kwetsbaar zijn; Keuper en Alkemade hebben daar geen onderzoek naar gedaan, vertelt het duo in een interview met RTL Nieuws.

De kwetsbaarheid is op het moment van schrijven nog niet gedicht. Keuper en Alkemade maakt hierom geen details bekend over de werking van de kwetsbaarheid. Keuper vertelt tegenover RTL dat gebruikers zich vooralsnog geen zorgen hoeven te maken: "Zoom krijgt negentig dagen om het te dichten, maar ik verwacht dat dat veel sneller gebeurt." Alkemade en Keuper zijn naar eigen zeggen twee maanden bezig geweest met hun onderzoek naar de kwetsbaarheid, meldt RTL Nieuws.

Pwn2Own is een hackwedstrijd die ieder jaar wordt gehouden in Vancouver. Dit jaar mogen hackers ook vanuit huis deelnemen vanwege de coronapandemie. Tijdens de wedstrijd worden ethische hackers uitgedaagd om kwetsbaarheden in bepaalde software te vinden. Succesvolle pogingen worden beloond met een geldbedrag, dat afhankelijk is van de software waarin de kwetsbaarheid wordt gevonden.

Dit jaar wordt voor het eerst communicatiesoftware die wordt gebruikt voor thuiswerken op de proef gesteld. Hieronder vallen Zoom en Microsoft Teams. Het prijzengeld in deze categorie bedraagt 200.000 dollar, wat omgerekend neerkomt op ongeveer 168.000 euro. Adobe doet dit jaar ook voor het eerst mee aan de hackwedstrijd; deelnemers worden uitgedaagd om kwetsbaarheden in Adobe Reader te vinden. Pwn2Own 2021 loopt tot en met donderdag 8 april.