Zoom修復(fù)了Mac的網(wǎng)絡(luò)攝像頭漏洞，但安全問題依然存在

admin

Zoom修復(fù)了Mac的網(wǎng)絡(luò)攝像頭漏洞，但安全問題依然存在

本周桌面聊天應(yīng)用程序公司因?yàn)榫徛�移�?dòng)以解決影響macOS用戶的潛在安全漏洞而受到抨擊。

Zoom本周發(fā)布了一個(gè)補(bǔ)丁，用于解決Mac版桌面視頻聊天應(yīng)用程序中的安全漏洞，該漏洞可能讓黑客控制用戶的網(wǎng)絡(luò)攝像頭。

該漏洞是由安全研究員Jonathan Leitschuh發(fā)現(xiàn)的，他在周一的博客文章中發(fā)布了有關(guān)它的信息。 Leitschuh說，這個(gè)缺陷可能會(huì)影響750,000家公司和大約400萬人使用Zoom。

Zoom表示，任何用戶都沒有受到影響。但對(duì)這個(gè)缺陷及其運(yùn)作方式的擔(dān)憂引發(fā)了對(duì)其他類似應(yīng)用程序是否同樣容易受到攻擊的疑問。

該漏洞涉及Zoom應(yīng)用程序中的一項(xiàng)功能，通過一個(gè)獨(dú)特的URL鏈接即可立即將用戶啟動(dòng)到視頻會(huì)議中，用戶只需單擊一下即可快速加入視頻通話。 （該功能旨在快速無縫地啟動(dòng)應(yīng)用程序，以獲得更好的用戶體驗(yàn)。）雖然Zoom讓用戶可以選擇在加入呼叫之前關(guān)閉相機(jī) - 用戶以后可以在應(yīng)用程序的設(shè)置中關(guān)閉相機(jī) - 默認(rèn)就是打開相機(jī)。

Leitschuh認(rèn)為該特征可用于惡意目的。通過將用戶引導(dǎo)到包含嵌入并隱藏在站點(diǎn)代碼中的快速加入鏈接的站點(diǎn)，攻擊者可以在未經(jīng)用戶許可的情況下切換攝像頭和/或麥克風(fēng)的過程中啟動(dòng)縮放應(yīng)用程序。這是可能的，因?yàn)閆oom還會(huì)在下載桌面應(yīng)用程序時(shí)安裝Web服務(wù)器。

安裝后，即使刪除了縮放應(yīng)用程序，Web服務(wù)器仍保留在設(shè)備上。

在Leitschuh的帖子發(fā)表后，Zoom淡化了對(duì)Web服務(wù)器的擔(dān)憂。然而，周二，該公司宣布將發(fā)布一個(gè)緊急補(bǔ)丁，以從Mac設(shè)備中刪除Web服務(wù)器。

“最初，我們沒有看到網(wǎng)絡(luò)服務(wù)器或視頻播放對(duì)我們的客戶構(gòu)成重大風(fēng)險(xiǎn)，事實(shí)上，他們認(rèn)為這些對(duì)我們的無縫加入過程至關(guān)重要，”Zoom CISO Richard Farley在博客文章中說。 “但在聽到我們的一些用戶和安全社區(qū)在過去24小時(shí)內(nèi)的強(qiáng)烈抗議時(shí)，我們決定對(duì)我們的服務(wù)進(jìn)行更新。”

據(jù)Techcrunch稱，蘋果周三還發(fā)布了一項(xiàng)“無聲”更新，確保在所有Mac設(shè)備上刪除網(wǎng)絡(luò)服務(wù)器。該更新還有助于保護(hù)刪除縮放的用戶。

企業(yè)客戶關(guān)注
對(duì)漏洞的嚴(yán)重性存在不同程度的擔(dān)憂。根據(jù)Buzzfeed新聞，Leitschuh將其嚴(yán)重程度分為8.5分（滿分10分）;根據(jù)自己的評(píng)估，縮放評(píng)級(jí)為3.1的缺陷。

Nemertes Research的副總裁兼服務(wù)總監(jiān)Irwin Lazar表示，該漏洞本身不應(yīng)成為企業(yè)關(guān)注的主要原因，因?yàn)橛脩魰?huì)很快注意到在桌面上啟動(dòng)Zoom應(yīng)用程序。

“我不認(rèn)為這是非常重要的，”他說。 “風(fēng)險(xiǎn)是有人點(diǎn)擊假裝參加會(huì)議的鏈接，然后他們的Zoom客戶端啟動(dòng)并將他們連接到會(huì)議中。”如果視頻默認(rèn)配置為開啟，則會(huì)看到用戶，直到他們意識(shí)到他們有無意中加入了一個(gè)會(huì)議。 “他們會(huì)注意到Zoom客戶端激活，他們會(huì)立即看到他們已加入會(huì)議。

“在最糟糕的情況下，他們?cè)陔x開會(huì)議之前會(huì)在相機(jī)上停留幾秒鐘，”拉扎爾說。

Futurum Research的創(chuàng)始合伙人/首席分析師Daniel Newman表示，雖然漏洞本身并不會(huì)產(chǎn)生問題，但Zoom對(duì)此問題的回應(yīng)時(shí)間更令人擔(dān)憂。

“有兩種方式可以看待這種情況，”紐曼說。 “截至[星期三]，基于[星期二]發(fā)布的補(bǔ)丁，漏洞并不那么重要。

“然而，對(duì)于企業(yè)客戶而言，重要的是這個(gè)問題如何在未經(jīng)解決的情況下拖延數(shù)月，最初的補(bǔ)丁如何能夠回滾以重新創(chuàng)建漏洞，現(xiàn)在不得不問這個(gè)最新的補(bǔ)丁是否確實(shí)是永久的解決方案，“紐曼說。

Leitschuh說，他在4月底公司首次公開募股前幾周首次向Zoom報(bào)告了這個(gè)漏洞，并且最初被告知Zoom的安全工程師“不在辦公室。”一個(gè)完整的解決方案只在漏洞發(fā)生后才到位被公之于眾（雖然臨時(shí)解決方案在本周之前推出）。

“最終，Zoom迅速確認(rèn)所報(bào)告的漏洞確實(shí)存在，但他們未能及時(shí)解決問題并將其解決，”他表示。 “這個(gè)配置文件的組織和擁有如此龐大的用戶群應(yīng)該更加主動(dòng)地保護(hù)用戶免受攻擊。”

在周三的一份聲明中，Zoom首席執(zhí)行官Eric S Yuan稱該公司“錯(cuò)誤判斷了這一情況