Durch die Sicherheitslücke beim Zoomen können Websites die Webcam Ihres Mac entführen

Die Videokonferenz-App Zoom weist ein großes Sicherheitsproblem auf, das es jedem ermöglichen kann, auf Ihre Webcam zuzugreifen, indem Sie ohne Ihre Erlaubnis zu einem Videoanruf hinzugefügt werden.

Es ist ein schwerwiegender Fehler des Skype-Konkurrenten, der es jedem ermöglichen könnte, auf Ihre Kamera zuzugreifen, indem er Ihnen einfach einen Link zu einer Videokonferenz sendet. Es wäre für eine Website einfach, Sie dazu zu bringen, auf einen Zoom-Link zu klicken, indem Sie die Option in einem Bild oder durch ein Popup-Fenster ausblenden und Ihre Webcam aktivieren, ohne dass Sie es merken.

Verbunden: Bestes VPN

Die vier Millionen Zoom-Benutzer, die die Zoom-App für Mac installiert haben, einschließlich der 750.000 Unternehmen, die Zoom für das Tagesgeschäft verwenden, sind von diesem Problem betroffen.

Das Löschen der App löst das Problem ebenfalls nicht. Wenn Sie die Zoom-App installieren, wird auch ein Webserver installiert, der Besprechungsanfragen automatisch akzeptiert, wenn Sie auf einen Link klicken. Es wurde entwickelt, um die Eingabe von Videoanrufen zu einem nahtlosen Erlebnis zu machen. Dies bedeutet jedoch, dass die App nicht pausiert, um die Erlaubnis zum Zugriff auf Ihre Kamera einzuholen, wenn Sie einen Anruf tätigen

– Eine Funktion, die böswillige Websites leicht nutzen können.

Selbst wenn Sie die App deinstallieren, geht dieser Webserver nirgendwo hin, was bedeutet, dass Zoom die App ohne Ihre Zustimmung jederzeit für Sie neu installieren kann, sodass Sie wieder auf dem ersten Platz sind.

Das Problem wurde ursprünglich von einem Sicherheitsforscher entdeckt Jonathan Leitschuh März. Leitschuh wandte sich direkt an Zoom, erklärte die gefundenen Probleme und schlug eine schnelle Lösung vor – Deaktivieren Sie die Option, mit der Anrufer Videos für alle automatisch aktivieren können – Zoom konnte implementiert werden, während das Problem behoben wurde.

Während der 90-tägigen Offenlegungsfrist schickte Leitschuh einen Tweet an Zoom, in dem er darauf hingewiesen wurde, dass er die Informationen veröffentlichen werde. Zoom argumentierte, dass "Video standardmäßig nicht als Sicherheitslücke angezeigt wird".

Hallo Jonathan, danke, dass du dir das angeschaut hast! Als erste Video-Lösung sehen wir Video standardmäßig nicht als Sicherheitslücke an. Benutzer können ihre eigenen gewünschten Videoeinstellungen festlegen. Details dazu, wie Benutzer dies konfigurieren können, finden Sie hier: https://t.co/Yr1mjUIWaE

- Zoom (@zoom_us) 8. Juli 2019

Das Problem ist jedoch nicht, dass standardmäßig ein Video vorhanden ist. Das Problem ist, dass diese Einstellung von demjenigen gesteuert wird, der den Anruf initiiert. Mit den Videokonferenzeinstellungen von Zoom kann der Anrufer das Video "Teilnehmer" auf "Ein" schalten, wenn Starten eines Anrufs bedeutet, dass jeder, der auf den Link klickt, automatisch seine Webcam findet eingeschaltet.

Zoom hat seine Füße hochgezogen, um die Sicherheitslücke zu beheben, und am 11. Juni (18 Tage vor der 90-Tage-Öffentlichkeit) das erste Treffen abgehalten, um sie zu beheben Offenlegungsfrist) und schließlich die Implementierung der Schnelllösungslösung von Leitschuh am 24. Juni, anstatt eine dauerhafte Lösung anzubieten besitzen.

Verbunden: Bestes kostenloses VPN

Das Webcam-Problem tauchte aber am 7. Juli wieder auf – gemäß der Zeitleiste auf Leitschuhs Post – Zoom hat es am 8. Juli wieder geschafft, das Problem zu beheben.

Eine dauerhafte Lösung wird noch nicht erwähnt. Zoom hat behauptet dass es beginnt, einzelne Benutzereinstellungen zu speichern, um festzustellen, ob das Video beim Beitritt ein- oder ausgeschaltet wird Ein Anruf aus diesem Monat, aber dies wird denjenigen wenig helfen, die sich dafür entscheiden, ihr Video eingeschaltet zu lassen Standard.

Dadurch wird auch das Webserverproblem nicht gelöst, aber Sie können die besuchen Mittlerer Beitrag um Leitschuhs eigenen Vorschlägen zur Deinstallation des Webservers zu folgen.