| 16 июля 2019 г. — 4:20 утра по тихоокеанскому времени
Обновление: Apple выпускает обновление безопасности для удаления этих веб-серверов.
Уязвимость захвата веб-камеры Mac, обнаруженная в приложении для видеоконференций Zoom, также присутствует в RingCentral и Zhumu.
Данные также свидетельствуют о том, что та же уязвимость будет присутствовать и в других приложениях для видеоконференций Mac…
Apple выпустила тихое обновление безопасности для macOS, чтобы удалить локальный веб-сервер, установленный Zoom, но оно не удаляет те, что установлены RingCentral и Zhumu.
Исследователь безопасности Джонатан Лейтшух, обнаруживший проблему в Zoom, предположил, что уязвимость захвата веб-камеры Mac, вероятно, присутствовала и в RingCentral. Коллега-исследователь Каран Лайонс теперь подтвердил это.
RingCentral (и Zhumu, и, вероятно, все white-label версии Zoom) уязвимы к другому, немного отличающемуся RCE. Они не удаляются автоматически Apple.
Как отмечает TNW, это связано с тем, что оба приложения используют один и тот же базовый код.
И RingCentral, и Zhumu работают на базе Zoom; первый используется более чем 350 000 организациями. Zhumu, с другой стороны, является, по сути, китайской версией приложения, которую Zoom приобрел в 2013 году.
«White-label» приложение — это, по сути, полная копия существующего приложения, но с новым брендингом для клиентской компании. У него другое название и, возможно, немного отличающийся пользовательский интерфейс, но поскольку основной код тот же, оно, как правило, будет иметь те же уязвимости, что и оригинал.
Как отмечает Лайонс, Zhumu — не единственная white-label версия Zoom, поэтому, вероятно, существуют и другие приложения для видеоконференций Mac с той же уязвимостью.
Проблема заключается в том, что приложения создают локальный веб-сервер, который работает в фоновом режиме и сохраняется даже после удаления самого приложения. Если вы нажмете на веб-ссылку (которая может быть замаскирована под безобидную), она активирует вашу веб-камеру и подключит вас к видеоконференции.
Обновление Apple удаляет только веб-сервер, созданный самим Zoom.
RingCentral выпустил экстренный патч.
RingCentral выпустил обновление для RingCentral Meetings, которое устраняет общую проблему «Video ON Concern» на MacOS, CVE 2019-13449 и CVE 2019-13450.
Пользователям будет предложено загрузить приложение RingCentral Meetings MacOS v7.0.151508.0712.
Всем пользователям, установившим RingCentral Meetings на MacOS, следует принять обновление. Пожалуйста, убедитесь, что все версии RingCentral Meetings для MacOS до v7.0.151508.0712 удалены.
RingCentral продолжает работать над устранением общей проблемы, связанной с «Video ON Concern», для других платформ. Мы будем продолжать предоставлять обновления.
На данный момент нет известного исправления для уязвимости захвата веб-камеры Mac в Zhumu. Однако Лайонс предоставил набор из трех команд Терминала, которые остановят и удалят веб-серверы, а также предотвратят их повторную установку.
Чтобы вручную удалить три известных на данный момент демона, выполните эти команды в вашем Терминале:
rm -rf ~/.zoomus; touch ~/.zoomus && chmod 555 ~/.zoomus; pkill "ZoomOpener" rm -rf ~/.ringcentralopener; touch ~/.ringcentralopener && chmod 555 ~/.ringcentralopener; pkill "RingCentralOpener" rm -rf ~/.zhumuopener; touch ~/.zhumuopener && chmod 555 ~/.zhumuopener; pkill "ZhumuOpener"Эти три команды делают одно и то же для трех самых популярных white-label версий Zoom (Zoom, RingCentral и Zhumu). Они удаляют веб-сервер, если он существует в скрытом каталоге, и создают пустой файл, устанавливая на него права доступа таким образом, чтобы скрытый сервер не мог быть переустановлен в этом месте. Наконец, они останавливают сервер, если он запущен.
Лайонс отмечает, что, хотя собственное обновление Apple затрагивает Safari, ситуация становится более сложной, если вы используете Chrome или Firefox в качестве браузера по умолчанию.
Если вы используете Safari на macOS, теперь все в порядке. Однако, если вы используете любой другой браузер (даже на других операционных системах), вы все равно можете увидеть ссылку, которая немедленно открывает Zoom. Это не та же уязвимость (нет RCE), и на самом деле это то, на что вы сами согласились, хотя, возможно, вы этого не осознавали. Это произойдет, если вы когда-либо отмечали галочкой в окне всплывающего окна с ссылкой на собрание Zoom, где говорилось что-то вроде «Всегда открывать эти ссылки в Zoom».
Она предоставляет инструкции по работе с этими браузерами.
Физические шторки для веб-камер выглядят все более разумным решением.