פגיעות אבטחת זום עלולה לאפשר לאתרים לחטוף את מצלמת האינטרנט של ה- Mac שלך

לאפליקציית ועידות וידאו זום יש בעיית אבטחה גדולה שיכולה לאפשר לכל אחד למקד את מצלמת האינטרנט שלך על ידי הוספתך לשיחת וידאו ללא רשותך.

זהו פגם חמור במתחרה בסקייפ, שיכול לאפשר לכל אחד לגשת למצלמה שלך פשוט על ידי שליחת קישור לוועידת וידאו. יהיה קל לאתר לרמות אותך ללחוץ על קישור זום על ידי הסתרת האפשרות בתמונה או דרך חלון קופץ, הפעלת מצלמת הרשת שלך מבלי שתבין.

קָשׁוּר: ה- VPN הטוב ביותר

ארבעת מיליון המשתמשים של זום שהתקינו את אפליקציית הזום עבור מק, כולל 750,000 החברות המשתמשות בזום לניהול עסקים שוטפים, רגישים לנושא.

מחיקת האפליקציה גם לא פותרת את הבעיה. כאשר אתה מתקין את אפליקציית Zoom, מותקן גם שרת אינטרנט שיקבל באופן אוטומטי בקשות פגישה כאשר תלחץ על קישור. הוא נועד להפוך כניסה לשיחות וידאו לחוויה חלקה. עם זאת, המשמעות היא שהאפליקציה לא עוצרת כדי לבקש הרשאה לגשת למצלמה שלך כשאתה נכנס לשיחה – תכונה שאתרים זדוניים יכולים לנצל בקלות.

גם אם תסיר את ההתקנה של האפליקציה, שרת אינטרנט זה לא הולך לשום מקום, כלומר זום יכול להתקין מחדש את האפליקציה עבורך מתי שהוא רוצה ללא הסכמתך, ולהשאיר אותך בחזרה למצב ראשון.

הנושא התגלה בתחילה על ידי חוקר אבטחה ג'ונתן לייטשוח במרץ. לייטשוח יצר קשר ישיר עם זום והסביר את הבעיות שמצא והציע פתרון לתיקון מהיר – השבת את האפשרות שמאפשרת למתקשרים להפעיל אוטומטית וידאו לכולם – Zoom יכול ליישם בזמן שהוא עבד על פתרון הבעיה.

במהלך תקופת הגילוי הפומבית בת 90 הימים, שלח לייטשוח ציוץ לזום והזהיר אותו כי הוא עומד להתפרסם עם המידע. זום טענה כי היא "אינה רואה וידאו מופעל כברירת מחדל כפגיעות אבטחה".

שלום ג'ונתן, תודה שבדקת את זה! כפתרון ראשון בווידאו איננו רואים את הווידאו מופעל כברירת מחדל כפגיעות אבטחה, אנו מאפשרים למשתמשים להגדיר את העדפות הווידאו הרצויות שלהם. פרטים על האופן שבו משתמשים יכולים להגדיר זאת ניתן למצוא כאן: https://t.co/Yr1mjUIWaE

- זום (@zoom_us) 8 ביולי 2019

עם זאת, הבעיה אינה שיש וידאו כברירת מחדל. הבעיה היא שהגדרה זו נשלטת על ידי מי שיוזם את השיחה. הגדרות ועידת הווידיאו של זום מאפשרות למתקשר לעבור לסרטון 'משתתפים' למצב 'מופעל' כאשר התחלת שיחה, כלומר כל מי שלחץ על הקישור ימצא באופן אוטומטי את מצלמת האינטרנט שלו נדלק.

זום גרר את רגליו כדי לתקן את ליקוי האבטחה, וקיים את הפגישה הראשונה שדברה בו ב -11 ביוני (18 יום לפני הציבור בן 90 הימים מועד הגילוי) ואז יישום סוף סוף של פיתרון התיקון המהיר של לייטשה ב 24 ביוני במקום להציע פיתרון קבוע שלו שֶׁלוֹ.

קָשׁוּר: ה- VPN החינמי הטוב ביותר

סוגיית מצלמות הרשת הופיעה שוב ב -7 ביולי אך – על פי ציר הזמן בפוסט של לייטשוח – זום הצליח לתקן את זה שוב ב- 8 ביולי.

אין עדיין אזכור לפיתרון קבוע. טען זום שהוא יתחיל לשמור העדפות משתמש בודדות אם הסרטון יופעל או יכבה כשהם יצטרפו שיחה מהחודש, אך זה לא יעזור מעט למי שבוחר להפעיל את הסרטון שלהם בְּרִירַת מֶחדָל.

זה גם לא יפתור את הבעיה של שרת האינטרנט, אבל אתה יכול לבקר ב- פוסט בינוני לעקוב אחר ההצעות של Leitschuh עצמו להסרת התקנת שרת האינטרנט.