Vào tháng 7/2020 nhóm nghiên cứu bảo mật CyberJutsu đã quyết định kiểm thử lỗi bảo mật trên các sản phẩm như: Zalo Web, ZaloPC, Hotel Zalo, ...và đã công bố 3 lỗ hổng trên phần mềm nhắn tin Zalo PC. Các lỗ hổng lần lượt được đặt tên là ZAL-01-001, ZAL-01-002 và ZAL-01-003. Trong đó, ZAL-01-001 và ZAL-01-002 được đánh giá là có mức độ nguy hiểm thấp, còn ZAL-01-003 được coi là lỗ hổng nghiêm trọng.

1. Lỗ hổng ZAL-01-001: Lỗi UI, tên tập tin quá dài sẽ tràn ra khỏi khung chat

2. Lỗ hổng ZAL-01-002: Lỗi UI, hiển thị icon loại file không chính xác

        3. Lỗ hổng ZAL-01-003: Blacklist file extension không chặt chẽ tạo điều kiện cho một cuộc tấn công RCE

Với lỗ hổng ZAL-01-003, hacker có thể gửi file chứa mã độc cho nạn nhân thông qua tin nhắn cá nhân hoặc tin nhắn nhóm. Khi nạn nhân nhấp vào file, tập tin sẽ được tải về và chạy, mã độc cũng ngay lập tức được thực thi. Trong trường hợp xấu nhất, hacker có thể lợi dụng tính năng này để thực hiện cuộc tấn công thực thi mã từ xa RCE nhằm kiểm soát máy tính của nạn nhân hoặc triển khai các cuộc tấn công khác với mục đích trục lợi. bởi vì Zalo PC đang gặp lỗi RCE nghiêm trọng cho nên người dùng phải cẩn thận khi nhận tập tin đính kèm.

Video demo tấn công:

File báo cáo phần 1:

Tiến trình test:

Trên trang web chuyên về bảo mật của mình, Zalo cũng đã có lời cảm ơn tới CyberJutsu trong việc tìm kiếm, hỗ trợ để giữ cho các sản phẩm của Zalo an toàn. Zalo cũng đã có quà tặng gửi tới CyberJutsu. Hiện tại, CyberJutsu vẫn đang phối hợp với Zalo để xác định và khắc phục một số lỗ hổng bảo mật khác. Do điều khoản bảo mật, những lỗ hổng này vẫn chưa được phép công bố.

theo https://cyberjutsu.io/publications/ truy cập ngày 9/11/2020