Специалист по кибербезопасности нашёл в сервисе Zoom уязвимость — она позволяла удалённо включать веб-камеры на macOS

Исследователь предупредил компанию несколько месяцев назад, но она пообещала исправить проблему только после того, как он рассказал о ней публично.

Исследователь в сфере кибербезопасности Джонатан Лейтшу обнаружил в сервисе для видеоконференций Zoom для macOS уязвимость, позволяющую злоумышленникам получить доступ к веб-камерам пользователей.

По словам Лейтшу, причина уязвимости кроется в функции, которая позволяет пользователям присоединяться к видеоконференциям по ссылке. Для этого Zoom устанавливает на устройства веб-сервер, который получает запросы по протоколу HTTPS GET. Отправлять их может любой сайт, открытый в браузере.

Чтобы активировать веб-камеры пользователей, злоумышленникам нужно создать ссылку-приглашение на конференцию и встроить её в код сайта. Локальный сервер Zoom работает в фоновом режиме, поэтому на компьютерах пользователей, открывающих вредоносный сайт, принудительно запустится приложение видеосервиса с активированной камерой. Также Лейтшу научился подключаться к звонкам, созданным другими пользователями.

Для доказательства уязвимости исследователь встроил вредоносный код в свой сайт. Попадая на сайт, пользователи с установленным клиентом Zoom подключаются к звонку с веб-камерой без разрешения. При отсутствии программы на сайте отображается диалоговое окно с просьбой дать необходимые разрешения, после выдачи которых видеоконференция не запускается.

Лейтшу также заметил, что локальный сервер Zoom работает на компьютере даже после удаления приложения. Он позволяет повторно установить программу при посещении сайта с вредоносным кодом без каких-либо дополнительных подтверждений.

Исследователь сообщил об уязвимости Zoom в марте 2019 года, дав сервису 90 дней на устранение проблемы. По его словам, компания лишь частично исправила проблему: в новом обновлении можно отключить веб-камеру при добавлении к звонкам.

Настройка, позволяющая автоматически выключать веб-камеру при подключении к конференции
Настройка, позволяющая автоматически выключать веб-камеру при подключении к конференции

Представители сервиса заявили, что используют сервер для экономии кликов пользователей. Они назвали присоединение к звонкам «в один клик» своей «отличительной особенностью». Zoom пообещала, что в одном из следующих обновлений при первом звонке сервис будет спрашивать пользователей о настройках видео и аудио для будущих звонков.

На фоне обнаружения уязвимости акции Zoom упали на 1,1% до $89,75.

2626
45 комментариев

НЕ ЗРЯ ЗАКЛЕИВАЛ

27

Вы про камеру или просто месье знает толк в извращенияхъ?)

Еще бы он не заклеивал! Он лучше всех знает что такое гавнокод и хуевая безопасность.

32

Это типа его рабочее место? Сидеть вместе со всеми?🤔

1

Самое эпичное, это как они решили встраивать всем на MacOS локальный веб-сервер, потому что видите ли, Safari задает лишний вопрос при попытке открыть Zoom через ссылку (это правда их оправдание, на самом деле они хотели устанавливать клиент всем, кто вдруг его удалил).

9

Ну потому что маркетологи хотят 1 клик и пофиг на технические костыли! Давайте делайте! Юзеры хотят! Чо самый умный что ли тут?

5