Уязвимость в клиенте Mac для популярного приложения для веб-конференций Увеличить может разрешить любому веб-сайту присоединяться к видеозвонку без разрешения, пишет инженер-программист и исследователь безопасности Джонатан Лейтшуч. В Средний пост Сегодня, опубликованный Leitschuch, подробно описал уязвимость, написав, что она может оставаться проблемой, даже если пользователи удалили клиент Mac: «Если вы когда-либо устанавливали клиент Zoom, а затем удаляли его, на вашем компьютере все еще есть веб-сервер localhost, который будет счастливо переустановить Увеличить клиент для вас, не требуя взаимодействия с пользователем от вашего имени, кроме посещения веб-страницы. Эта переустановленная «функция» продолжает работать и по сей день ».
Leitschuch включил исправления для уязвимости, в том числе, как отключить возможность Zoom включать веб-камеру при присоединении к собранию, терминальная команда для отключения видео по умолчанию и инструкции о том, как выключить веб-сервер и удалить файлы приложения веб-сервера.
В своем графике Лейтшух сказал, что уязвимость была первоначально раскрыта Zoom 26 марта с предложенным «быстрым исправлением», но что Zoom потребовалось 10 дней, чтобы подтвердить уязвимость, и что, несмотря на беседу с компанией, он видел только 24 июня. что Zoom реализовал быстрое решение.
«В конечном счете, Zoom не удалось быстро подтвердить, что обнаруженная уязвимость действительно существовала, и им не удалось своевременно устранить проблему, чтобы доставить ее клиентам. Организация этого профиля и с такой большой базой пользователей должна была быть более активной в защите своих пользователей от атак », – написал он.
Лейтшух добавил, что он публикует информацию об уязвимости, потому что «это, по сути, нулевой день. К сожалению, Zoom не устранил эту уязвимость в отведенном им 90-дневном окне раскрытия, которое я им дал, как и отраслевой стандарт. Таким образом, более 4 миллионов пользователей Zoom на Mac теперь уязвимы для вторжения в их личную жизнь с помощью этого сервиса ».
Представитель Zoom сказал TechCrunch, что «Zoom работает с исследователем безопасности, который выразил обеспокоенность по поводу видео по умолчанию как уязвимости безопасности: Zoom по умолчанию включает видео пользователя, когда он присоединяется к собранию. Теоретически это может создать для хакера возможность обмануть цель, чтобы она присоединилась к видео-встрече на камеру. Примечательно, что у нас нет никаких признаков того, что это когда-либо происходило ».
В более длинное заявлениеКомпания заявила, что в настоящее время: «Всех новых пользователей Zoom, присоединяющихся к своей первой встрече с данного устройства, спрашивают, хотят ли они, чтобы их видео было отключено. Для последующих собраний пользователи могут настроить параметры видео своего клиента для отключения видео при присоединении к собранию. Кроме того, системные администраторы могут предварительно настроить параметры видео для поддерживаемых устройств во время установки или изменить конфигурацию в любое время ».
Он добавил, что «в рамках нашего выпуска в июле 2019 года Zoom будет применять и сохранять предпочтения пользователя в видео с его первой встречи Zoom для всех будущих встреч Zoom. Пользователи и системные администраторы могут по-прежнему настраивать параметры видео своего клиента для отключения видео при присоединении к собранию. Это изменение будет распространяться на все клиентские платформы ».