Уязвимость в платформе видеоконференций Zoom поставила под угрозу более 4 млн пользователей Мас (обновлено)

10 июля 2019, 14:39
Уязвимость в платформе видеоконференций Zoom поставила под угрозу более 4 млн пользователей Мас (обновлено)

Исследователь безопасности Джонатан Лейтшух обнародовал информацию о серьёзной уязвимости в популярном приложении для веб-конференций Zoom, которая позволяет любому сайту получить доступ к камере и открыть видеовызов без разрешения пользователя Mac, сообщают ZDNet и Securitylab.

Проблема связана с функцией, с помощью которой можно автоматически присоединиться к видеоконференции в Zoom, нажав на ссылку-приглашение в браузере. Для этого приложение устанавливает на систему веб-сервер, который получает команды через запросы HTTPS GET, при этом с ним может взаимодействовать любой сайт, открытый в браузере. Для компрометации злоумышленнику нужно лишь создать приглашение в своей учётной записи на официальном сайте Zoom, встроить её в сторонний ресурс и убедить пользователя Мас посетить его. Приложение принудительно запустится на компьютере и активирует веб-камеру, подвергая пользователя риску атак.

Опасность сохраняется даже после деинсталляции Zoom — локальный веб-сервер автоматически переустановит приложение без участия или разрешения пользователя. Помимо активации камеры, баг можно использовать для вывода Мас из строя, просто отправив большое количество повторяющихся GET-запросов на локальный сервер.

Разработчики Zoom частично исправили уязвимость, отключив возможность активации камеры. Но проблема, позволявшая атакующему принудительно подключить к конференции посетивших вредоносный сайт по-прежнему актуальна.

Уязвимость касается последней версии Zoom (4.4.4) для macOS и затрагивает более 4 млн пользователей компьютеров Apple. Чтобы обезопасить себя, им рекомендуют отключить автоматическую активацию камеры при подключении к видеоконференции в настройках Zoom.

Обновление: Apple выпустила патч, который удаляет скрытый веб-сервер Zoom, остававшийся на системе после деинсталяции приложения. Исправление устанавливается автоматически и не требует взаимодействия с пользователем.

Обсуждение