Исследователь Джонатан Лейтшу рассказал о критической уязвимости в сервисе видеоконференций Zoom. Проблема затрагивает Mac-версию, и, по его подсчетам, актуальна для 4 млн пользователей.

Чем грозит уязвимость

Из-за уязвимости сайты могут произвольно добавлять пользователей к звонкам и включать веб-камеры компьютеров.

Как пишет Лейтшу, причина в специфике работы Zoom. Для работы приложение устанавливает на Mac веб-сервер, который получает запросы по протоколу HTTPS GET. Но отправлять их может любой сайт, открытый в браузере.

Злоумышленнику нужно лишь создать приглашение на конференцию, встроить ее в код через элемент iFrame. Когда Mac-пользователь Zoom перейдет на сайт, на его компьютере автоматически запустится приложение видеосервиса с активированной камерой.

https://twitter.com/mathowie/status/1148391109824921600

Даже если удалить Zoom с компьютера, проблема не решится. Веб-сервер может принудительно скачать инсталлятор и переустановить программу.

Также уязвимость позволяет выводить компьютеры из строя — злоумышленнику достаточно провести DDoS-аттаку, отправляя множество запросов.

Что говорит Zoom

Лейтшу связался с Zoom еще в конце марта и дал компании 90 дней на устранение проблемы. По его словам, в Zoom так и не уделили уязвимости достаточного внимания. Фирма лишь частично закрыла баг: в новом обновлении можно отключить веб-камеру при добавлении к звонкам.

Но пользователей все равно можно добавлять в конференции без их согласия, просто после перехода на сайт. Кроме того, у Zoom нет механизма автоматического обновления — многие пользователи продолжают пользоваться устаревшими версиями.

Новая опция в настройках Zoom

В Zoom объяснили, что используют веб-сервер для удобства пользователей. После недавнего обновления Safari (стандартный браузер на Mac) требует подтверждения при каждом запуске программы.

Веб-сервер позволяет сэкономить несколько кликов, напрямую запуская программу. Как пишет Лейтшу, чтобы полностью его отключить, придется использовать утилиту Terminal и ряд команд — их он перечислил в своем блог-посте на Medium.