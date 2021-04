Nederlandse hackers krijgen 200.000 dollar voor ontdekken groot lek in Zoom

De Nederlandse hackers Daan Keuper en Thijs Alkemade hebben een groot lek in Zoom ontdekt waarmee ze de computer van elke Zoom-beller kunnen overnemen. De ontdekking levert de mannen een beloning van 200.000 dollar op.



Keuper (33) en Alkemade (31), ethisch hackers bij cybersecuritybedrijf Computest, deden mee aan de bekende hackwedstrijd Pwn2Own. Voor die wedstrijd mogen hackers een aantal deelnemende bedrijven hacken, waaronder Zoom, waarvoor ze een beloning kunnen krijgen.



De hoofdprijs voor Zoom gaat dit jaar naar de twee Nederlandse hackers, die een groot lek vonden in het Zoom-programma voor Windows en MacOS. Via dat lek kunnen ze een computer op afstand overnemen als iemand Zoom aan heeft staan. De gebruiker hoeft niets te doen. Kwaadwillenden zouden via dat lek kunnen meegluren met de webcam (ook als Zoom uit staat), gevoelige bestanden stelen of het apparaat gijzelen met ransomware.



Het lek is momenteel nog niet gedicht, waardoor de computers van miljoenen Zoom-gebruikers gevaar lopen. Maar je hoeft je niet gelijk zorgen te maken, stelt Keuper tegen RTL Nieuws: "Alleen wij en nu ook Zoom weten van dit lek. Zoom krijgt negentig dagen om het te dichten, maar ik verwacht dat dat veel sneller gebeurt."



Zijn advies: kijk goed wanneer er een update voor Zoom beschikbaar is en installeer die zo snel mogelijk. "Het installeren van de laatste updates is altijd een goede maatregel om criminele hackers buiten de deur te houden."



Keuper en Alkemade zijn zo'n twee maanden bezig geweest met hun onderzoek. De eerste weken keken ze goed naar het programma: waar zouden de kwetsbaarheden allemaal kunnen zitten? Zodra ze een mogelijk kwetsbaar onderdeel van het programma vonden, doken ze er dieper in.



"Het vinden van een lek is in het algemeen niet heel veel werk", vertelt Keuper. "Het meeste werk zit 'm in de kwetsbaarheid uitbouwen zodat je er daadwerkelijk een computer mee kunt overnemen, en dat dat ook elke keer lukt – ongeacht op welke computer." Dat proces heeft anderhalve maand geduurd.



Hoe het lek precies in elkaar zit, mogen de hackers niet zeggen. "Zoom heeft het nog niet gedicht, dus we kunnen nog geen details geven. Maar je hoeft als gebruiker het programma alleen maar op je computer te hebben draaien. Je hoeft nergens op te klikken of een ander programma te installeren."



De kwetsbaarheid komt niet voor als je Zoom alleen via de browser gebruikt. Browsers zijn in het algemeen beter beveiligd dan veel andere computerprogramma's, stelt Keuper. Veel browsers maken gebruik van een zogeheten sandbox, een soort digitale muur rondom het programma. Daar breek je niet zomaar doorheen.



Zoom maakt daar, net als veel andere computerprogramma's, nog geen gebruik van. "Dat zou op termijn een hele goede toevoeging zijn om dit soort hack lastiger te maken." Het is onduidelijk of het lek ook zit in de Android- en iOS-app van Zoom. Daar hebben Keuper en Alkemade niet naar gekeken. "We verwachten dat Zoom dat de komende tijd wel gaat doen."



Dat er lekken in Zoom worden ontdekt, betekent niet dat het programma gelijk onveilig is. "Het gaat er vooral om hoe een bedrijf ermee omgaat", vertelt Keuper. "Windows en MacOS rollen elke maand updates uit die lekken dichten. Dat Zoom meedoet aan Pwn2Own laat zien dat ze hun beveiliging serieus nemen."



Keuper en Alkemade ontvangen binnenkort het prijzengeld van 200.000 dollar, omgerekend zo'n 168.000 euro. Een deel daarvan stoppen ze terug in de onderzoeksafdeling waar ze werken: de hackers hebben een vrije rol en mogen onderzoeken wat ze willen. Het geld kunnen ze goed gebruiken om nieuwe onderzoeken te financieren waarmee ze de digitale samenleving veiliger maken.



Het andere deel mogen ze zelf uitgeven. Keuper en Alkemade hebben al een idee: Alkemade heeft veel zin in de nieuwe Macbook die later dit jaar uit gaat komen, Keuper is fanatiek kitesurfer en heeft een paar mooie kites op het oog.

Reacties

12-04-2021 22:49:06 Grouse

Ik heb ook een lek ontdekt maar dat kost alleen maar geld. Oké, niet in Zoom maar in mijn dakgoot.

12-04-2021 23:15:23 Emmo

@Grouse : De laatste keer kostte mij dat alleen maar een shot siliconenkit.

