Исследователь Джонатан Лейтшу рассказал о критической уязвимости в сервисе видеоконференций Zoom. Проблема затрагивает Mac-версию, и, по его подсчетам, актуальна для 4 млн пользователей.
Чем грозит уязвимость
Из-за уязвимости сайты могут произвольно добавлять пользователей к звонкам и включать веб-камеры компьютеров.
Как пишет Лейтшу, причина в специфике работы Zoom. Для работы приложение устанавливает на Mac веб-сервер, который получает запросы по протоколу HTTPS GET. Но отправлять их может любой сайт, открытый в браузере.
Злоумышленнику нужно лишь создать приглашение на конференцию, встроить ее в код через элемент iFrame. Когда Mac-пользователь Zoom перейдет на сайт, на его компьютере автоматически запустится приложение видеосервиса с активированной камерой.
Даже если удалить Zoom с компьютера, проблема не решится. Веб-сервер может принудительно скачать инсталлятор и переустановить программу.
Также уязвимость позволяет выводить компьютеры из строя — злоумышленнику достаточно провести DDoS-аттаку, отправляя множество запросов.
Что говорит Zoom
Лейтшу связался с Zoom еще в конце марта и дал компании 90 дней на устранение проблемы. По его словам, в Zoom так и не уделили уязвимости достаточного внимания. Фирма лишь частично закрыла баг: в новом обновлении можно отключить веб-камеру при добавлении к звонкам.
Но пользователей все равно можно добавлять в конференции без их согласия, просто после перехода на сайт. Кроме того, у Zoom нет механизма автоматического обновления — многие пользователи продолжают пользоваться устаревшими версиями.
В Zoom объяснили, что используют веб-сервер для удобства пользователей. После недавнего обновления Safari (стандартный браузер на Mac) требует подтверждения при каждом запуске программы.
Веб-сервер позволяет сэкономить несколько кликов, напрямую запуская программу. Как пишет Лейтшу, чтобы полностью его отключить, придется использовать утилиту Terminal и ряд команд — их он перечислил в своем блог-посте на Medium.