Zoom会议漏洞或导致Mac设备摄像头能被随意开启

Zoom是一种Web视频会议服务提供商,支持客户端或浏览器插件形式的视频会议。最近,安全研究人员Jonathan Leitschuh在Mac设备上发布了一个严重的0天漏洞,该漏洞允许恶意网站劫持用户的摄像头。

他已经证明,任何网站都可以通过Zoom应用程序在Mac上打开支持视频的通话,这意味着在安装了Zoom的Mac上,其摄像头不为网络设防,考虑到Mac用户没有这种恶意行为可能是使用安全软件的习惯更有可能成功。

该漏洞不是由程序中的错误引起的,部分原因是Zoom应用程序在Mac上安装本地Web服务器以接受视频呼叫请求,这可以接受由常规浏览器发起的视频支持请求。实际上,如果卸载Zoom,Web服务器将继续存在,您可以重新安装Zoom而无需干预。

使用Leitschum提供的演示程序,您可以确认漏洞是否有效。如果您之前安装了缩放应用程序(并且未在设置中选中复选框),请单击链接以自动加入电话会议。然后打开相机。

e8ca97ba32e2488298d2233067b19f21

Leitschum详细介绍了他的帐户,解释了他在3月底如何负责任地披露了Zoom漏洞,并为Zoom提供了90天的解决问题。此漏洞也向Chromium和Mozilla团队透露,但由于这不是浏览器的问题,开发人员无法做到。

打开相机已经令人困惑,但由于存在Web服务器,Mac用户将面临更大的问题。例如,在较旧版本的Zoom中,可以在Mac上实施DDoS拒绝服务攻击。

根据Zoom,它开发了一个本地Web服务器来减少用户流量:Apple已经更改了Safari浏览器,并要求Zoom用户每次使用Zoom时单击OK。 Zoom认为,这种“解决方案”是一种合理的解决方案,可以解决糟糕的用户体验“让我们的用户只需点击一下即可无缝连接到会议,这是我们产品的关键区别。”

该公司表示将以微妙的方式调整应用程序:从7月开始,Zoom将保存用户和管理员的偏好,无论他们是否会在首次加入手机时打开视频。一般来说,Zoom似乎不会完全改变其应用在Mac上的行为方式,以避免被不必要的电话吸引,但它依赖于用户默认关闭他们的相机。

(Me.F)