Zoom客戶端被發現存在零點擊漏洞

Google Project Zero揭露視訊會議平臺Zoom，存在零點擊（Zero-Click）漏洞，也就是說在沒有用戶參與的情況下，攻擊者就能夠利用漏洞接管裝置，甚至是破壞Zoom伺服器。Zoom這次被發現的兩個漏洞，分別是客戶端和多媒體路由（MMR）伺服器緩衝區溢位，還有MMR伺服器的資訊洩漏，這兩個漏洞在2021年11月24日，均已被官方修復。

Zoom是一個視訊會議平臺，在COVID-19大流行期間廣受歡迎，而這次是由Project Zero研究人員Natalie Silvanovich，對Zoom進行零點擊攻擊分析。Natalie Silvanovich過去在許多通訊平臺，包括Messenger、Signal、FaceTime、iMessage和Duo等，發現過零點擊漏洞和各種臭蟲。

Natalie Silvanovich提到，過去他認為針對Zoom的攻擊都需要用戶多次點擊介面，不像是其他視訊會議系統，由一方用戶撥打電話，其他用戶必須立即接受或拒絕，Zoom使用者需要提前安排會議，並透過電子郵件邀請，因此較沒有零點擊攻擊的疑慮。

不過最近駭客競賽Pwn2Own揭露了對Windows Zoom客戶端的零點擊攻擊，已經證實Zoom的確具備完全遠端攻擊面，因此Natalie Silvanovich便對Zoom客戶端軟體，進行了詳細的分析，而果真發現了兩個漏洞。

Zoom客戶端提供Zoom聯絡人功能，當使用者雙方互成為聯絡人，便可以啟用會議以外的通訊功能，要成為Zoom聯絡人，用戶雙方都必須要明確同意，在之後，就能開始互傳文字訊息，甚至是以類似電話的方式，撥打給其他用戶，讓其他用戶可以透過單擊介面，立刻進行對話。Natalie Silvanovich提到，這些要素代表了Zoom的確具有零點擊攻擊面。

不過此攻擊面僅適用於已經說服目標，接受他們成為聯絡人的攻擊者，因為只有Zoom聯絡人才能一鍵加入會議，其他使用者仍需要多次點擊才能進入會議。但Natalie Silvanovich也提到，即便需要多次點擊，說服目標加入Zoom通話其實也不難，尤其是有些組織使用Zoom的方式，可能導致一些特別的攻擊場景。

像是許多社群會舉辦公開的Zoom會議，Zoom提供付費網路研討會功能，因此一大群不知名的與會者，可以加入單向視訊會議，攻擊者就可能加入公開會議，並鎖定其他與會者。Zoom還仰賴伺服器來傳輸音訊和視訊串流，並且預設關閉端到端加密，攻擊者可能會破壞Zoom伺服器，並獲取會議資料的存取權限。

在這兩個漏洞中，最令Natalie Silvanovich擔憂的是MMR伺服器漏洞，因為該伺服器處理會議音訊和視訊內容，因此攻擊者有能力監控任何未啟用端到端加密的MMR伺服器會議。Natalie Silvanovich表示，雖然他尚未成功利用這些漏洞，但根據目前的調查，他相信只要進行足夠的研究，攻擊者就能夠進一步利用。

Natalie Silvanovich還發現MMR程序缺少位址空間組態隨機載入（ASLR）安全技術，而這大幅增加攻擊者破壞的可能性，他表示，整體而言，在Zoom中所發現的臭蟲，和Project Zero在其他視訊會議平臺找到的相去不遠，但伺服器的錯誤令人驚訝，而且還缺少ASLR和允許非端到端操作模式。

Natalie Silvanovich在研究Zoom的安全性時，遭遇到了一些障礙，因為Zoom是閉源軟體，不像使用開源軟體的視訊會議平臺容易被檢視，他在研究過程支付了約1,500美元的授權費用，並且因為Zoom使用許多專有的格式和介面，因此研究起來格外花時間，Natalie Silvanovich認為，這些他遭遇到的障礙，可能也代表著Zoom沒有獲得足夠的調查，或許會存在一些簡單但未被發現的錯誤。