[Обновление: Zoom ответил] Крупная уязвимость Zoom могла позволить веб-сайтам перехватывать управление вашей Mac-камерой

Chance Miller | Вторник, 9 июля, 2019, 07:27.

Avatar for Chance Miller
 | 9 июля 2019 г. — 1:57 пп PT
zoom vulnerability

Обновление: Zoom заявил, что планирует выпустить серию обновлений для устранения этих проблем безопасности.

Обнаружена новая уязвимость нулевого дня для приложения видеоконференций Zoom на Mac. В посте на Medium исследователь безопасности Джонатан Лейтшух описал эту уязвимость, которая могла позволить веб-сайтам перехватывать управление камерой вашего Mac.

При установке приложения Zoom на ваш Mac оно также устанавливает веб-сервер, который «принимает запросы, которые обычные браузеры не принимают», как подробно описано The Verge. Именно этот веб-сервер, по-видимому, вызывает эту уязвимость.

По сути, веб-сервер Zoom работает как фоновый процесс. Таким образом, любой веб-сайт может «принудительно присоединить пользователя к звонку Zoom с активированной камерой без его разрешения». Если вы просто щелкнете по ссылке, вы автоматически присоединитесь к конференц-звонку Zoom с включенной камерой, даже если приложение Zoom больше не установлено.

Мы протестировали уязвимость, используя ссылку из поста Лейтшуха на Medium, и сразу же были подключены к конференц-звонку Zoom с активированной камерой нашего Mac. Одним из самых поразительных аспектов этой уязвимости является то, что она работает, даже если вы удалили приложение Zoom:

Кроме того, если вы когда-либо устанавливали клиент Zoom, а затем удаляли его, на вашем компьютере все еще остается localhost веб-сервер, который с удовольствием переустановит клиент Zoom для вас без какого-либо взаимодействия с пользователем, кроме посещения веб-страницы. Эта «функция» переустановки продолжает работать и по сей день.

Лейтшух впервые сообщил об уязвимости Zoom еще в марте. Хронология в посте на Medium объясняет, что уязвимость была исправлена в какой-то момент с тех пор, но регрессия в этом месяце снова сделала ее рабочей. Регрессия была исправлена сегодня, но Лейтшух обнаружил обходной путь.

Кроме того, Zoom не имеет «достаточных возможностей автоматического обновления», по словам Лейтшуха, что означает, что до сих пор существуют пользователи, запускающие старые версии приложения.

Так как же вы можете защитить себя? Самый простой способ — зайти в окно настроек Zoom и включить параметр «Отключать мое видео при присоединении к собранию». Вы также можете выполнить серию команд в Терминале, чтобы полностью удалить веб-сервер; эти команды можно найти в конце поста Лейтшуха на Medium.

Более подробную техническую информацию, а также ссылки на доказательства концепции, можно найти на Medium.

https://twitter.com/mathowie/status/1148391109824921600