AICODER大前端培训

AICODER-IT培训专家,前端培训基地,前端培训,全栈培训,大学生IT培训基地,线上IT课程免费自学,线下培训项目实战,实习,html5培训实习-AICODE程序员

在线咨询

Zoom应用被曝严重安全漏洞 任何网站可劫持Mac摄像头

谦太祥和 发布于: 2019年7月12日 1时14分43秒 阅读0次

  腾讯科技讯,7 月 9 日消息,据外媒报道,如果你是数百万 Zoom 视频会议用户中的一员,并且在 Mac 上安装了这款应用程序,那么网系统会建议你检查设置,以确保默认情况下禁用摄像头。在设置视频部分,你可以找到“加入会议时关闭视频”的勾选框。

  这是因为,研究人员乔纳森·莱特舒赫(Jonathan Leitschuh)按照“零日方法”规则披露了 Zoom 应用的一个严重安全漏洞,同时建议用户确保在公司发布补丁时更新他们的应用程序。

  该漏洞利用 Zoom 中的架构漏洞进行攻击。在该漏洞中,为改善用户体验而安装的 Web 服务器会使系统面临恶意攻击,网络摄像头可以激活。本质上,通过强制邀请用户参加 Zoom 呼叫,以发起拒绝服务攻击(因为打了补丁),并且可以重新激活卸载的应用程序,所有这些都不需要用户许可。

  Zoom 解释说,这样做是为了改善零散的用户体验,是对 Safari 12 进行升级的变通办法,这是“一个针对糟糕用户体验的合法解决方案,使我们的用户能够无缝地一键加入会议,这是我们的关键产品差异化。”

  然而,莱特舒赫在他的披露中说:“首先,在我的本地机器上安装运行 Web 服务器的 Zoom 应用程序,使用完全没有文档记录的 API,对我来说感觉非常粗略。其次,我访问的任何网站都可以与运行在我机器上的这个 Web 服务器进行交互,这对对于作为安全研究员的我来说,是一个巨大的危险信号。”

  莱特舒赫指责 Zoom 通过使用本地服务器“在背后制定了巨大的目标”,通过一个架构糟糕的技术解决方案让数百万用户陷入遭到网络攻击的危险中,这种解决方案以改善用户体验为借口基本上绕过了用户浏览器的安全保护措施,而这些保障措施显然是有充分理由的。

  莱特舒赫在 3 月份向 Zoom 披露了这个问题,他说:“利用令人惊讶的、功能简单的 Zoom 漏洞,你只需向任何人发送会议链接(例如 https://zoom.us/j/492468757),当他们在浏览器中打开该链接时,他们的 Zoom 客户端在他们的本地机器上就能神奇地打开,这让用户很容易陷入攻击危险之中。”

  在披露中,莱特舒赫表示,Zoom 推迟了对漏洞的处理,直到 90 天未披露“宽限期”结束前 18 天才开始讨论他的发现。然后,在 6 月 24 日,“经过 90 天的等待,也就是公开披露截止日期前的最后一天”,Zoom 只是简单地部署了他三个月前向该公司提出的“快速解决方案”。

  莱特舒赫说:“最终,Zoom 未能快速确认报告的漏洞确实存在,他们也未能及时将问题的解决方案交付给客户。拥有如此庞大的用户群的组织,本应更积极主动地保护其用户免受攻击。”

  精通技术的用户可以找到并删除应用程序,但对于我们其余的人,应该改变视频设置并保持应用程序更新。目前还没有迹象表明 Zoom 会进行重大技术上的改变,以解决这个架构上的弱点,所以改变视频设置并保持它的改变,似乎是避免遭到攻击的最佳方式。

  在一份声明中,Zoom 确认了这个问题,并承认“如果攻击者能够诱使目标用户点击指向攻击者 Zoom 会议的 Web 链接,无论是在电子邮件消息中还是在网络服务器上,目标用户都可能在不知情的情况下加入攻击者的 Zoom 会议。”

  Zoom 补充说,其 7 月份的更新“将应用并保存用户从第一次 Zoom 会议到未来所有 Zoom 会议的视频首选项。用户和系统管理员仍然可以配置他们的客户端视频设置,以便在加入会议时关闭视频。此更改将应用于所有客户端平台。”

  Zoom 表示:“我们非常认真地对待与我们产品相关的所有安全问题,并有一个专门的安全团队。我们承认,我们的网站目前没有为报告安全问题提供明确的信息。在未来几周,Zoom 将使用其公共漏洞奖励计划,补充我们现有的私人奖励计划。”

  不过,莱特舒赫对此仍持怀疑态度,并建议转而采用“零日策略”,这显然更能确保这类曝光受到关注。(腾讯科技审校/金鹿)

AICODER编辑推荐:


热点分享


报名就业班送基础班

最近分享