Videobellen

Nederlandse hackers krijgen 200.000 dollar voor ontdekken groot lek in Zoom

07 april 2021 20:14 Aangepast: 08 april 2021 09:07
Zoom is ontzettend populair. Beeld © Getty

De Nederlandse hackers Daan Keuper en Thijs Alkemade hebben een groot lek in Zoom ontdekt waarmee ze de computer van elke Zoom-beller kunnen overnemen. De ontdekking levert de mannen een beloning van 200.000 dollar op.

Keuper (33) en Alkemade (31), ethisch hackers bij cybersecuritybedrijf Computest, deden mee aan de bekende hackwedstrijd Pwn2Own. Voor die wedstrijd mogen hackers een aantal deelnemende bedrijven hacken, waaronder Zoom, waarvoor ze een beloning kunnen krijgen. 

Lek in Zoom

De hoofdprijs voor Zoom gaat dit jaar naar de twee Nederlandse hackers, die een groot lek vonden in het Zoom-programma voor Windows en MacOS. Via dat lek kunnen ze een computer op afstand overnemen als iemand Zoom aan heeft staan. De gebruiker hoeft niets te doen. Kwaadwillenden zouden via dat lek kunnen meegluren met de webcam (ook als Zoom uit staat), gevoelige bestanden stelen of het apparaat gijzelen met ransomware.

Het lek is momenteel nog niet gedicht, waardoor de computers van miljoenen Zoom-gebruikers gevaar lopen. Maar je hoeft je niet gelijk zorgen te maken, stelt Keuper tegen RTL Nieuws: "Alleen wij en nu ook Zoom weten van dit lek. Zoom krijgt negentig dagen om het te dichten, maar ik verwacht dat dat veel sneller gebeurt."

Zijn advies: kijk goed wanneer er een update voor Zoom beschikbaar is en installeer die zo snel mogelijk. "Het installeren van de laatste updates is altijd een goede maatregel om criminele hackers buiten de deur te houden."

Daan Keuper (links) en Thijs Alkemade. Daan Keuper (links) en Thijs Alkemade.
Miniatuurvoorbeeld
Lees ook:

Zoom start met het versleutelen van alle videogesprekken

Keuper en Alkemade zijn zo'n twee maanden bezig geweest met hun onderzoek. De eerste weken keken ze goed naar het programma: waar zouden de kwetsbaarheden allemaal kunnen zitten? Zodra ze een mogelijk kwetsbaar onderdeel van het programma vonden, doken ze er dieper in. 

Kwetsbaarheid uitbouwen

"Het vinden van een lek is in het algemeen niet heel veel werk", vertelt Keuper. "Het meeste werk zit 'm in de kwetsbaarheid uitbouwen zodat je er daadwerkelijk een computer mee kunt overnemen, en dat dat ook elke keer lukt – ongeacht op welke computer." Dat proces heeft anderhalve maand geduurd.

Hoe het lek precies in elkaar zit, mogen de hackers niet zeggen. "Zoom heeft het nog niet gedicht, dus we kunnen nog geen details geven. Maar je hoeft als gebruiker het programma alleen maar op je computer te hebben draaien. Je hoeft nergens op te klikken of een ander programma te installeren."

Zo ziet de Zoom-software voor Windows en MacOS eruit. Zo ziet de Zoom-software voor Windows en MacOS eruit.

Android en iOS

De kwetsbaarheid komt niet voor als je Zoom alleen via de browser gebruikt. Browsers zijn in het algemeen beter beveiligd dan veel andere computerprogramma's, stelt Keuper. Veel browsers maken gebruik van een zogeheten sandbox, een soort digitale muur rondom het programma. Daar breek je niet zomaar doorheen.

Zoom maakt daar, net als veel andere computerprogramma's, nog geen gebruik van. "Dat zou op termijn een hele goede toevoeging zijn om dit soort hack lastiger te maken." Het is onduidelijk of het lek ook zit in de Android- en iOS-app van Zoom. Daar hebben Keuper en Alkemade niet naar gekeken. "We verwachten dat Zoom dat de komende tijd wel gaat doen."

Dat er lekken in Zoom worden ontdekt, betekent niet dat het programma gelijk onveilig is. "Het gaat er vooral om hoe een bedrijf ermee omgaat", vertelt Keuper. "Windows en MacOS rollen elke maand updates uit die lekken dichten. Dat Zoom meedoet aan Pwn2Own laat zien dat ze hun beveiliging serieus nemen."

Twee ton prijzengeld

Keuper en Alkemade ontvangen binnenkort het prijzengeld van 200.000 dollar, omgerekend zo'n 168.000 euro. Een deel daarvan stoppen ze terug in de onderzoeksafdeling waar ze werken: de hackers hebben een vrije rol en mogen onderzoeken wat ze willen. Het geld kunnen ze goed gebruiken om nieuwe onderzoeken te financieren waarmee ze de digitale samenleving veiliger maken. 

Het andere deel mogen ze zelf uitgeven. Keuper en Alkemade hebben al een idee: Alkemade heeft veel zin in de nieuwe MacBook die later dit jaar uit gaat komen, Keuper is fanatiek kitesurfer en heeft een paar mooie kites op het oog. 

Miniatuurvoorbeeld
Lees ook:

Advocaat blundert tijdens hoorzitting via Zoom: 'Nee, ik ben geen kat'

Altijd weten wat er speelt?
Download de gratis RTL Nieuws-app en blijf op de hoogte.

Playstore Appstore