Всеки Mac с приложението за телеконферентна връзка Zoom може да бъде шпиониран в момента. Да, това е лош ден за сигурността на Apple, тъй като злонамерените уебсайтове могат да бъдат кодирани за дистанционно стартиране на видеоконферентно обаждане на вашия Mac - и атаката може дори да бъде изпратена по имейл.
Тази новина, разкрита от изследователя по сигурността Джонатан Лайтчух, показва, че дори Mac, които вече нямат инсталиран Zoom - но някога го имаха - са уязвими. Добрата новина обаче е, че има решения (едното обаче е сериозно трудно) и изглежда, че Zoom скоро ще поправи всичко.
Какво да правим сега
Поправката, благодарение на промяната на позицията на Zoom, изглежда толкова проста, колкото приемането на актуализации на Zoom, когато пристигнат. В актуализация на големия блог на Zoom за недостатъка, компанията заяви, че пластир, който идва тази вечер (9 юли) в или преди 3 часа сутринта EST/полунощ PST ще реши нещата. Потребителите ще бъдат подканени да актуализират приложението и че след като актуализацията приключи, „локалният уеб сървър ще бъде напълно премахнат на това устройство“.
Предполага се, че актуализацията ще подобри процедурата за деинсталиране. Публикацията на Zoom гласи: „Добавяме нова опция към лентата с менюта Zoom, която ще позволи на потребителите ръчно и напълно да деинсталират клиента Zoom, включително локалния уеб сървър.“
Очакваме с нетърпение да видим дали Джонатан Лайтшух и други изследователи по сигурността смятат, че Zoom върши задълбочена и правилна работа.
За да защитите вашия Mac, отворете Настройки за Zoom - щракнете върху Zoom в лентата с менюта, след това щракнете върху Settings - и отворете секцията Video. След това поставете отметка в квадратчето до „Изключване на видеоклипа ми при присъединяване към среща“.
В публикацията си Leitschuh също сподели код за използване в терминала. Тези инструкции стават малко сложни и са най-подходящи за потребителите, разбиращи се от супер технологиите, които биха го предпочели. Тези съвети са направени за премахване на уеб сървъра, който Zoom създава на Mac.
Как работи
Да, всичко това е възможно, защото Zoom тайно инсталира уеб сървър на Mac, който получава - и приема - заявки, които вашите уеб браузъри не биха направили. Leitschuh обясни, че се е опитал да работи със Zoom, като се обърна към компанията през март миналата година, но че „нейните решения не бяха достатъчни, за да защитят напълно своите потребители“.
Също така, както споменах по -рано, дори тези потребители, които са деинсталирали Zoom от своите Mac, са уязвими. Leitschuh обяснява, че уеб сървърът, инсталиран от Zoom, остава дори след като премахнете програмата и че сървърът може да бъде задействан дистанционно, за да актуализира и автоматично да инсталира най -новата версия на Zoom.
О, и жертвата дори не трябва дори да бъде подмамена да отвори уеб страница. Първо, потребителят на Vimeo „fun jon“ публикува видео доказателства, че можете да атакувате този недостатък по имейл и целта дори не трябва да отваря съобщението. Те просто трябва да използват приложение за имейл клиент, което изтегля злонамерено кодираното съобщение.
След като Leitschuh спори с Zoom, като твърди, че е казал на компанията, че „позволяването на хост да избере дали даден участник автоматично да се присъедини към видеоклипа“ е „самостоятелна уязвимост в сигурността“, компанията не се съгласи, позиционирайки решението си като ползвател: „Zoom вярва в предоставянето на на нашите клиенти правото да избират как искат да увеличат мащаба. "
Искате ли да го видите сами?
Ако някога сте имали Zoom на вашата машина, можете да видите това сами.
Потърсете в блога на Leitschuh фразата „zoom_vulnerability_poc/“ - тъй като това е връзката към неговото доказателство за концепцията, което стартира Zoom повикване. Първият е само аудио версия; втората връзка, която включва „iframe“ в URL адреса, започва разговор с активен видеоклип.
Тази уязвимост на Zoom са банани. Опитах едно от доказателствата за концептуални връзки и се свързах с три други рандо, които също полудяха по този въпрос в реално време. https://t.co/w7JKHk8nZypic.twitter.com/arOE6DbQaf - Мат Хоуги (@mathowie) 9,2022-2023 юли
Тази статия първоначално се появи в Томовото ръководство.
- бета преглед на macOS Catalina
- Използвах мишка с iPadOS и ето как работи
- Бета преглед на iPadOS