AIN.UA » БизнесВ видеосервисе Zoom нашли уязвимость. Mac-версия позволяет сайтам включать камеру
EN

В видеосервисе Zoom нашли уязвимость. Mac-версия позволяет сайтам включать камеру

1416
1

Исследователь Джонатан Лейтшу рассказал о критической уязвимости в сервисе видеоконференций Zoom. Проблема затрагивает Mac-версию, и, по его подсчетам, актуальна для 4 млн пользователей.

Чем грозит уязвимость

Из-за уязвимости сайты могут произвольно добавлять пользователей к звонкам и включать веб-камеры компьютеров.

Как пишет Лейтшу, причина в специфике работы Zoom. Для работы приложение устанавливает на Mac веб-сервер, который получает запросы по протоколу HTTPS GET. Но отправлять их может любой сайт, открытый в браузере.

Злоумышленнику нужно лишь создать приглашение на конференцию, встроить ее в код через элемент iFrame. Когда Mac-пользователь Zoom перейдет на сайт, на его компьютере автоматически запустится приложение видеосервиса с активированной камерой.

Даже если удалить Zoom с компьютера, проблема не решится. Веб-сервер может принудительно скачать инсталлятор и переустановить программу.

Также уязвимость позволяет выводить компьютеры из строя — злоумышленнику достаточно провести DDoS-аттаку, отправляя множество запросов.

Что говорит Zoom

Лейтшу связался с Zoom еще в конце марта и дал компании 90 дней на устранение проблемы. По его словам, в Zoom так и не уделили уязвимости достаточного внимания. Фирма лишь частично закрыла баг: в новом обновлении можно отключить веб-камеру при добавлении к звонкам.

Но пользователей все равно можно добавлять в конференции без их согласия, просто после перехода на сайт. Кроме того, у Zoom нет механизма автоматического обновления — многие пользователи продолжают пользоваться устаревшими версиями.

Новая опция в настройках Zoom

В Zoom объяснили, что используют веб-сервер для удобства пользователей. После недавнего обновления Safari (стандартный браузер на Mac) требует подтверждения при каждом запуске программы.

Веб-сервер позволяет сэкономить несколько кликов, напрямую запуская программу. Как пишет Лейтшу, чтобы полностью его отключить, придется использовать утилиту Terminal и ряд команд — их он перечислил в своем блог-посте на Medium.

Заметили ошибку? Выделите ее и нажмите Ctrl+Enter, чтобы сообщить нам.

Смотреть комментарии

Комментарии | 1

  • Починилось сегодня или вчера.

    Release notes of 4.4.53932.0709:
    Remove local web server
    -We are discontinuing the use of a local web server on Mac devices. Following the update, the local web server will be completely removed from the Zoom installation
    Option to uninstall Zoom
    -Zoom users can now uninstall the Zoom desktop application and all of its components through the settings menu

Последние новости
18 сен
Смотреть все
  • Продавать в интернете
  • Безопасность номера
  • Съемки на YouTube

Поиск

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: