Специалист по кибербезопасности нашёл в сервисе Zoom уязвимость — она позволяла удалённо включать веб-камеры на macOS Статьи редакции
Исследователь предупредил компанию несколько месяцев назад, но она пообещала исправить проблему только после того, как он рассказал о ней публично.
Исследователь в сфере кибербезопасности Джонатан Лейтшу обнаружил в сервисе для видеоконференций Zoom для macOS уязвимость, позволяющую злоумышленникам получить доступ к веб-камерам пользователей.
По словам Лейтшу, причина уязвимости кроется в функции, которая позволяет пользователям присоединяться к видеоконференциям по ссылке. Для этого Zoom устанавливает на устройства веб-сервер, который получает запросы по протоколу HTTPS GET. Отправлять их может любой сайт, открытый в браузере.
Чтобы активировать веб-камеры пользователей, злоумышленникам нужно создать ссылку-приглашение на конференцию и встроить её в код сайта. Локальный сервер Zoom работает в фоновом режиме, поэтому на компьютерах пользователей, открывающих вредоносный сайт, принудительно запустится приложение видеосервиса с активированной камерой. Также Лейтшу научился подключаться к звонкам, созданным другими пользователями.
Для доказательства уязвимости исследователь встроил вредоносный код в свой сайт. Попадая на сайт, пользователи с установленным клиентом Zoom подключаются к звонку с веб-камерой без разрешения. При отсутствии программы на сайте отображается диалоговое окно с просьбой дать необходимые разрешения, после выдачи которых видеоконференция не запускается.
Лейтшу также заметил, что локальный сервер Zoom работает на компьютере даже после удаления приложения. Он позволяет повторно установить программу при посещении сайта с вредоносным кодом без каких-либо дополнительных подтверждений.
Исследователь сообщил об уязвимости Zoom в марте 2019 года, дав сервису 90 дней на устранение проблемы. По его словам, компания лишь частично исправила проблему: в новом обновлении можно отключить веб-камеру при добавлении к звонкам.
Представители сервиса заявили, что используют сервер для экономии кликов пользователей. Они назвали присоединение к звонкам «в один клик» своей «отличительной особенностью». Zoom пообещала, что в одном из следующих обновлений при первом звонке сервис будет спрашивать пользователей о настройках видео и аудио для будущих звонков.
На фоне обнаружения уязвимости акции Zoom упали на 1,1% до $89,75.
НЕ ЗРЯ ЗАКЛЕИВАЛ
Вы про камеру или просто месье знает толк в извращенияхъ?)
Еще бы он не заклеивал! Он лучше всех знает что такое гавнокод и хуевая безопасность.
Это типа его рабочее место? Сидеть вместе со всеми?🤔
Он так чморит народ, вот, типа, я сижу тут с вами в маечке, в общей комнате, но у меня охуллиард миллиардов!
показывает типа "даже миллиардеры так работают" не нойте про нормальный офис - опенспейс норм
Самое эпичное, это как они решили встраивать всем на MacOS локальный веб-сервер, потому что видите ли, Safari задает лишний вопрос при попытке открыть Zoom через ссылку (это правда их оправдание, на самом деле они хотели устанавливать клиент всем, кто вдруг его удалил).
Ну потому что маркетологи хотят 1 клик и пофиг на технические костыли! Давайте делайте! Юзеры хотят! Чо самый умный что ли тут?
Это не костыль, это изящное техническое решение. Другое дело, что оно очень, очень неэтичное
Комментарий недоступен
Лишнее, если мои данные верны, то незаметно включить камеру нельзя, сработает красный светодиод, сигнализирующий что камера активна, причем, программно диод не отключается, он там как-то хитро распаян на железячном уровне. На очень ранних маках его можно было как-то отключить, сейчас вроде бы нет.
Кстати, советую утилитки Патрика Уордла, одна из них прекрасно показывает какой процесс пытается подцепиться к включенной камере или активировать ее. Можно или разрешить или запретить процесс.
Надо срочно выпустить iTape for iMac
За 129,99?
BYN
вы не шарите в безопасности, сударь. камеры тоже не дураки паяли, а чтобы глянуть можно было втихаря и без лампочки. а лампочка для дураков, проверено уже кучей людей. за маки боюсь утверждать, но уверен, что там это также можно обойти, потому что шпионаж важнее всего. а для хомячков всегда есть байка про пайку и загорание лампочки в нужный момент.
Шеф, в данном случае речь в статье идет про маки, и комментарий мой относится к макам. За остальное железо (различные виндо/линухобуки) не ручаюсь, вполне допускаю что там все не так гладко и продуманно на железячном уровне.
А утверждение что я не шарю в безопасности как то очень уж голословно :)
У меня есть гарантированный случай, когда камера работала, а диод не горел. Программный баг.
Выглядеть как диод, работать как диод и быть диодом - вещи разные)))
Именно на макбуке? И как давно?
Макбук Про 2015. Пару лет назад или около того. Более не повторялось с тех пор в том же приложении. Так что похоже на баг. Но если такой баг возможен, то уже все возможно)
Более того, в данном конкретном случае ещё и приложение zoom откроется на весь экран, это очень сложно не заметить.
Неплохо было бы добавить в статью, как временно выпилить этот сервер: https://gist.github.com/karanlyons/1fde1c63bd7bb809b04323be3f519f7e
Купи ноут за 200000 чтобы на тебя смотрел весь мир.
Купи бугатти вейрон и езди по Москве
купи порш кайен и живи в пятиэтажке
Шутка не удалась. https://m.infox.ru/news/283/social/society/220151-5-etazej-25-tysac-kvadratnyh-metrov-secin-stroit-novyj-osobnak-za-20-mlrd
ты сам решил, что это шутка. попался!
Купи шлакоблок на винде за 12к и радуйся жизни
Ясен пень, за 12к макбук не купишь.
Пффф, причем тут ноут за двести? Если проблема в стороннем сервисе и дерьмовой архитектуре спроектированного приложения🤦♀️Такое и на лине будет работать и на винде.
Комментарий недоступен
А что он с белым диодом при включении камеры делает?
Он его заклеил, чтобы не смущал. Оставил только камеру.
Мой вариант бесплатной заглушки для камеры без наклеек:
#ZuckLiked @Apple @WesternUnion @VISA @Facebook @TechCrunch #Apple @techinsider @kickstarter #FREE
В новом обновлении исправили
Release notes of 4.4.53932.0709:Remove local web server
-We are discontinuing the use of a local web server on Mac devices. Following the update, the local web server will be completely removed from the Zoom installation
Option to uninstall Zoom
-Zoom users can now uninstall the Zoom desktop application and all of its components through the settings menu
А раньше было нельзя uninstall the Zoom desktop application and all of its components, прикольный дизайн аппа
Думаю нельзя было через само приложение, а только как обычное приложение удалить, но сейчас судя по всему они удаляют все включая веб-сервер
Не прокатило, удаляем
Как так? Нам же хипстеры раструбили, что у яблока есть какой-то супер чип безопасности. Т1 или как?
Комментарий удален модератором
Гуманитарии в диодах не разумеют
заклеил камеру - нет проблем
там чтоб камера работала разве не требуются разрешения от приложения?
ну то есть обычно спрашивает "ходите дать доступ к камере/микрофону приложению" если ДА то введите пароль
Нет веб-камеры - нет проблем )