З 25 листопада російськомовна версія AIN.UA не оновлюється. Читайте нас українською та англійською
UA RU EN
UA RU EN

В видеосервисе Zoom нашли уязвимость. Mac-версия позволяет сайтам включать камеру

09 Июля, 2019, 16:00
3738
1

Исследователь Джонатан Лейтшу рассказал о критической уязвимости в сервисе видеоконференций Zoom. Проблема затрагивает Mac-версию, и, по его подсчетам, актуальна для 4 млн пользователей.

Чем грозит уязвимость

Из-за уязвимости сайты могут произвольно добавлять пользователей к звонкам и включать веб-камеры компьютеров.

Как пишет Лейтшу, причина в специфике работы Zoom. Для работы приложение устанавливает на Mac веб-сервер, который получает запросы по протоколу HTTPS GET. Но отправлять их может любой сайт, открытый в браузере.

Злоумышленнику нужно лишь создать приглашение на конференцию, встроить ее в код через элемент iFrame. Когда Mac-пользователь Zoom перейдет на сайт, на его компьютере автоматически запустится приложение видеосервиса с активированной камерой.

https://twitter.com/mathowie/status/1148391109824921600

Даже если удалить Zoom с компьютера, проблема не решится. Веб-сервер может принудительно скачать инсталлятор и переустановить программу.

Также уязвимость позволяет выводить компьютеры из строя — злоумышленнику достаточно провести DDoS-аттаку, отправляя множество запросов.

Что говорит Zoom

Лейтшу связался с Zoom еще в конце марта и дал компании 90 дней на устранение проблемы. По его словам, в Zoom так и не уделили уязвимости достаточного внимания. Фирма лишь частично закрыла баг: в новом обновлении можно отключить веб-камеру при добавлении к звонкам.

Но пользователей все равно можно добавлять в конференции без их согласия, просто после перехода на сайт. Кроме того, у Zoom нет механизма автоматического обновления — многие пользователи продолжают пользоваться устаревшими версиями.

Новая опция в настройках Zoom

В Zoom объяснили, что используют веб-сервер для удобства пользователей. После недавнего обновления Safari (стандартный браузер на Mac) требует подтверждения при каждом запуске программы.

Веб-сервер позволяет сэкономить несколько кликов, напрямую запуская программу. Как пишет Лейтшу, чтобы полностью его отключить, придется использовать утилиту Terminal и ряд команд — их он перечислил в своем блог-посте на Medium.

Нема подібних.

Еще об уязвимостях
#
#
#
Оставить комментарий

Комментарии | 1

  • Ivan Danishevsky
    11:22 10.07.19

    Починилось сегодня или вчера.

    Release notes of 4.4.53932.0709:
    Remove local web server
    -We are discontinuing the use of a local web server on Mac devices. Following the update, the local web server will be completely removed from the Zoom installation
    Option to uninstall Zoom
    -Zoom users can now uninstall the Zoom desktop application and all of its components through the settings menu

Реклама на AIN.UA
Медиакит Нативка Контакты
Подписаться
Есть новости? Написать нам
Поиск