Уязвимость системы безопасности Zoom может позволить сайтам захватить веб-камеру вашего Mac

Приложение для видеоконференцсвязи Zoom имеет серьезную проблему безопасности, из-за которой любой может настроить таргетинг на вашу веб-камеру, добавив вас к видеовстрече без вашего разрешения.

Это серьезный недостаток конкурента Skype, который может позволить любому получить доступ к вашей камере, просто отправив вам ссылку на видеоконференцию. Веб-сайт может легко обмануть вас, нажав на ссылку «Масштаб», скрыв соответствующий параметр на изображении или во всплывающем окне, активировав веб-камеру, даже не осознавая этого.

Связанный: Лучший VPN

Четыре миллиона пользователей Zoom, установивших приложение Zoom для Mac, включая 750 000 компаний, которые используют Zoom для повседневной работы, подвержены этой проблеме.

Удаление приложения тоже не решает проблему. При установке приложения Zoom также устанавливается веб-сервер, который автоматически принимает запросы на собрание при нажатии на ссылку. Он разработан, чтобы сделать входящие видеозвонки удобными. Однако это означает, что приложение не останавливается, чтобы запросить разрешение на доступ к камере, когда вы входите в вызов.

– функция, которой могут легко воспользоваться вредоносные веб-сайты.

Даже если вы удалите приложение, этот веб-сервер никуда не денется, а это означает, что Zoom может переустановить приложение для вас, когда захочет, без вашего согласия, оставив вас на исходе.

Первоначально проблема была обнаружена исследователем безопасности. Джонатан Лейтшу в марте. Лейтшу напрямую связался с Zoom, объяснив проблемы, которые он обнаружил, и предложил быстрое решение. – отключить опцию, которая позволяет звонящим автоматически включать видео для всех – Zoom можно было реализовать, пока он работал над решением проблемы.

В течение 90-дневного периода публичного раскрытия информации Лейтшу отправил в Zoom твит, в котором предупредил, что он собирается обнародовать эту информацию. Zoom утверждал, что он «не видит видео по умолчанию как уязвимость системы безопасности».

Привет, Джонатан, спасибо, что изучили это! В качестве решения «сначала видео» мы не видим видео включенным по умолчанию как уязвимость системы безопасности, мы позволяем пользователям устанавливать свои собственные желаемые предпочтения видео. Подробности о том, как пользователи могут это настроить, можно найти здесь: https://t.co/Yr1mjUIWaE

- Увеличение (@zoom_us) 8 июля 2019 г.,

Однако проблема не в том, что по умолчанию есть видео. Проблема в том, что этот параметр контролируется тем, кто инициирует вызов. Настройки видеоконференции Zoom позволяют вызывающему абоненту переключать видео "Участники" на "Вкл.", Когда начало звонка, означающее, что любой, кто нажмет на ссылку, автоматически найдет свою веб-камеру включенный.

Zoom не торопился исправить брешь в системе безопасности, проведя первое собрание по ее устранению 11 июня (за 18 дней до 90-дневного публичного обсуждения). крайний срок раскрытия информации), а затем, наконец, внедрение решения Leitschuh для быстрого решения проблем 24 июня, вместо того, чтобы предлагать постоянное решение проблемы. собственный.

Связанный: Лучший бесплатный VPN

Проблема с веб-камерой снова появилась 7 июля, но – согласно графику на посте Лейтшу – Zoom удалось исправить это снова 8 июля.

О постоянном решении пока нет упоминания. Zoom потребовал что он начнет сохранять индивидуальные пользовательские настройки относительно того, будет ли видео включаться или выключаться, когда они присоединяются звонок из этого месяца, но это мало что поможет тем, кто решит оставить свое видео включенным, дефолт.

Это также не решит проблему с веб-сервером, но вы можете посетить Средний пост следовать собственным предложениям Leitschuh по удалению веб-сервера.