Zoom应用程序的安全漏洞可能导致Mac网络摄像头遭到入侵

根据美国安全研究员Jonathan Leitschuh的说法,Zoom视频会议应用程序可以被任何网站劫持,然后可以强制Mac用户加入呼叫以及激活的网络摄像头。

美国安全研究员Jonathan Leitschuh周一公开披露了Zoom视频会议软件中一个主要的零日漏洞。Leitschuh已经证明,任何网站都可以通过Zoom应用程序安装的Web服务器,通过Mac上的Zoom软件启动视频通话。

根据The Verge的报告,服务器接受常规不会发出的请求。该报告进一步表示,即使您卸载Zoom软件,服务器仍将保留,并且可以在用户不选择的情况下重新安装Zoom。根据Leitschuh的调查结果,任何网站都可以劫持Zoom软件,除非启用了特定设置,否则即使没有他们的许可,也可以强制Mac用户加入呼叫以及激活的网络摄像头。

在周一发布的Medium帖子中,Leitschuh通过一种链接形式进行了演示,点击后,Mac用户(目前正在使用/或曾使用过Zoom应用程序)到会议室激活他们的网络摄像头。他指出,此特定代码可以嵌入到任何网站以及恶意广告或网络钓鱼活动中。

Leitschuh进一步写道,即使Mac用户卸载了Zoom应用程序,本地Web服务器仍然存在,它将“愉快地为您重新安装Zoom客户端,除了访问网页之外,无需代表您进行任何用户交互。”

Verge在其报告中说,他们使用Leitschuh的演示自己尝试了这个漏洞,并且能够确认如果Mac用户使用了Zoom应用并且没有检查设置中的特定复选框,则点击链接时问题仍然存在。链接自动将用户加入到打开网络摄像头的电话会议中。

这个Zoom漏洞就是香蕉。我尝试了其中一个概念验证链接,并连接到其他三个randos,同时也对它实时发现。https://t.co/w7JKHk8nZypic.twitter.com/arOE6DbQaf

- Matt Haughey(@mathowie),2019年7月9日

根据Leitschuh的说法,他在今年早些时候已于3月26日联系了Zoom,并表示他将在90天内公开披露该漏洞。根据他的说法,Zoom似乎没有做足以解决问题的方法。然而,Chromium和Mozilla团队也披露了这个特定漏洞,因为它们的浏览器不是问题,开发人员可以做的事情并不多。

为了解决这个问题,Leitschuh已经建议安装了Zoom应用程序的Mac用户将其更新到最新版本,然后选中设置中的框以“加入会议时关闭我的视频”。他还在Medium帖子中提供了一系列命令,可以禁用本地Web服务器并防止它重新安装。

在公开披露之后,Zoom在The Verge和ZDNet的一份声明中表示,在Apple以一种需要Zoom用户的方式更改Safari浏览器之后,它开发了本地Web服务器,以便为Mac用户节省一些点击费用。确认他们想要每次都启动Zoom。Verge的报告称,Zoom将这种解决方案作为“用户体验不佳的合法解决方案”,使我们的用户能够进行无缝的一键加入会议,这是我们的主要产品差异化因素。

根据该报告,Zoom说它会以一种小的方式调整应用程序:从7月开始,该应用程序将保存用户和管理员在首次加入呼叫时是否打开视频的首选项。

相关文章