Luka w zabezpieczeniach Zoom może pozwolić witrynom przejąć kontrolę nad kamerą internetową Twojego Maca
Aplikacja do wideokonferencji Zoom ma poważny problem z bezpieczeństwem, który może pozwolić każdemu na skierowanie Twojej kamery internetowej przez dodanie Cię do rozmowy wideo bez Twojej zgody.
To poważna wada konkurenta Skype'a, która może pozwolić każdemu na dostęp do Twojej kamery, po prostu wysyłając Ci link do wideokonferencji. Witryna internetowa mogłaby łatwo nakłonić Cię do kliknięcia łącza Zoom, ukrywając opcję na obrazie lub przez wyskakujące okienko, aktywując kamerę internetową, nawet nie zdając sobie z tego sprawy.
Związane z: Najlepsza sieć VPN
Problem dotyczy czterech milionów użytkowników Zoom, którzy zainstalowali aplikację Zoom dla komputerów Mac, w tym 750 000 firm, które używają Zoom do prowadzenia codziennej działalności.
Usunięcie aplikacji również nie rozwiązuje problemu. Podczas instalowania aplikacji Zoom instalowany jest również serwer sieciowy, który automatycznie akceptuje wezwania na spotkanie po kliknięciu łącza. Został zaprojektowany tak, aby nawiązywanie połączeń wideo było bezproblemowe. Oznacza to jednak, że aplikacja nie zatrzymuje się, aby zapytać o pozwolenie na dostęp do kamery, gdy rozpoczynasz połączenie
– funkcja, z której mogą łatwo skorzystać złośliwe witryny.Nawet jeśli odinstalujesz aplikację, ten serwer sieciowy nigdzie się nie połączy, co oznacza, że Zoom może ponownie zainstalować aplikację, kiedy tylko zechce, bez Twojej zgody, pozostawiając Cię z powrotem na pierwszym miejscu.
Problem został początkowo odkryty przez badacza bezpieczeństwa Jonathan Leitschuh w marcu. Leitschuh skontaktował się bezpośrednio z Zoom, wyjaśniając problemy, które znalazł i sugerując szybkie rozwiązanie – wyłącz opcję, która umożliwia dzwoniącym automatyczne włączanie wideo dla wszystkich – Zoom mógł wdrożyć, pracując nad rozwiązaniem problemu.
Podczas 90-dniowego okresu publicznego ujawnienia Leitschuh wysłał tweet do Zoom, ostrzegając go, że ma zamiar upublicznić informacje. Zoom argumentował, że „domyślnie nie widzi włączonego wideo jako luki w zabezpieczeniach”.
Cześć Jonathan, dzięki za przyjrzenie się temu! Jako pierwsze rozwiązanie wideo, domyślnie nie postrzegamy wideo jako luki w zabezpieczeniach, pozwalamy użytkownikom ustawić własne preferencje wideo. Szczegółowe informacje o tym, jak użytkownicy mogą to konfigurować, można znaleźć tutaj: https://t.co/Yr1mjUIWaE
- Zoom (@zoom_us) 8 lipca 2019 r
Jednak problem nie polega na tym, że domyślnie istnieje ustawienie wideo. Problem polega na tym, że to ustawienie jest kontrolowane przez tego, kto inicjuje połączenie. Ustawienia wideokonferencji Zoom pozwalają rozmówcy przełączyć wideo „Uczestników” na „Włączone”, kiedy rozpoczęcie rozmowy, co oznacza, że każdy, kto kliknie łącze, automatycznie znajdzie swoją kamerę internetową włączone.
Zoom ociągał się, by naprawić lukę w zabezpieczeniach, pierwsze spotkanie w celu rozwiązania tego problemu odbyło się 11 czerwca (18 dni przed 90-dniowym termin ujawnienia), a następnie 24 czerwca ostatecznie wdrożyć rozwiązanie Leitschuh umożliwiające szybką naprawę, zamiast oferować trwałe rozwiązanie jego posiadać.
Związane z: Najlepsza darmowa sieć VPN
Problem z kamerą internetową pojawił się ponownie 7 lipca, ale – zgodnie z harmonogramem zamieszczonym w poście Leitschuh – Zoom zdołał to naprawić ponownie 8 lipca.
Na razie nie ma wzmianki o trwałym rozwiązaniu. Zoom twierdził że zacznie zapisywać indywidualne preferencje użytkownika dotyczące tego, czy wideo zostanie włączone, czy wyłączone po dołączeniu rozmowa telefoniczna z tego miesiąca, ale niewiele to pomoże tym, którzy zdecydują się nie wyłączać wideo domyślna.
To również nie rozwiąże problemu z serwerem internetowym, ale możesz odwiedzić Średni post aby postępować zgodnie z własnymi sugestiami Leitschuh dotyczącymi odinstalowywania serwera internetowego.