Sårbarhet med zoom-säkerhet kan låta webbplatser kapa din Macs webbkamera
Videokonferensappen Zoom har ett stort säkerhetsproblem som kan göra det möjligt för alla att rikta in sig på din webbkamera genom att lägga till dig till ett videosamtal utan din tillåtelse.
Det är en allvarlig brist i Skype-konkurrenten, som kan låta vem som helst komma åt din kamera genom att bara skicka en länk till en videokonferens. Det skulle vara lätt för en webbplats att lura dig att klicka på en Zoom-länk genom att dölja alternativet i en bild eller genom ett popup-fönster, aktivera din webbkamera utan att du ens förstår.
Relaterad: Bästa VPN
De fyra miljoner Zoom-användare som har installerat Zoom-appen för Mac, inklusive de 750 000 företagen som använder Zoom för att bedriva dagliga affärer, är känsliga för problemet.
Att ta bort appen löser inte heller problemet. När du installerar Zoom-appen installeras också en webbserver för att automatiskt acceptera mötesförfrågningar när du klickar på en länk. Den är utformad för att göra inmatning av videosamtal en sömlös upplevelse. Det betyder dock att appen inte pausar för att be om tillstånd att komma åt din kamera när du ringer ett samtal
– en funktion som skadliga webbplatser lätt kan dra nytta av.Även om du avinstallerar appen går den här webbservern inte någonstans, vilket innebär att Zoom kan installera om appen åt dig när som helst utan ditt samtycke och lämna dig tillbaka på första plats.
Frågan upptäcktes ursprungligen av säkerhetsforskare Jonathan Leitschuh i mars. Leitschuh kontaktade Zoom direkt och förklarade de problem han hade hittat och föreslog en snabblösning – inaktivera alternativet som gör det möjligt för uppringare att automatiskt aktivera video för alla – Zoom kunde implementeras medan det fungerade för att lösa problemet.
Under den 90 dagar långa offentliggörandeperioden skickade Leitschuh en tweet till Zoom och varnade för att han skulle offentliggöras med informationen. Zoom hävdade att det "inte ser på video som standard som en säkerhetsproblem".
Hej Jonathan, tack för att du tittade på det här! Som en video-första lösning ser vi inte video på som standard som en säkerhetsproblem, vi tillåter användare att ställa in sina egna önskade videopreferenser. Detaljer om hur användare kan konfigurera detta finns här: https://t.co/Yr1mjUIWaE
- Zooma (@zoom_us) 8 juli 2019
Problemet är dock inte att det finns en video som standardinställning. Problemet är att denna inställning styrs av den som initierar samtalet. Zooms inställningar för videokonferenser gör det möjligt för den som ringer att växla 'Deltagarnas' video till 'På' när starta ett samtal, vilket innebär att alla som klickar på länken automatiskt hittar sin webbkamera påslagen.
Zoom har dragit fötterna för att åtgärda säkerhetsfelet och hållit det första mötet för att ta itu med den 11 juni (18 dagar före 90-dagars allmänheten tidsfrist för offentliggörande) och sedan slutligen implementera Leitschuhs snabbkorrigeringslösning den 24 juni snarare än att erbjuda en permanent lösning på dess egen.
Relaterad: Bästa gratis VPN
Webbkamerautgåvan dök upp igen den 7 juli men – enligt tidslinjen på Leitschuhs inlägg – Zoom lyckades fixa det igen den 8 juli.
Det finns inget omnämnande av en permanent lösning ännu. Zoom har hävdat att det kommer att börja spara enskilda användarinställningar för huruvida video kommer att slås på eller av när de går med ett samtal från den här månaden, men det kommer inte att hjälpa dem som väljer att hålla sin video påslagen standard.
Detta löser inte problemet med webbservern, men du kan besöka Medium post för att följa Leitschuhs egna förslag för att avinstallera webbservern.
