Zoom修復(fù)了Mac的網(wǎng)絡(luò)攝像頭漏洞，但安全問題依然存在

admin

Zoom修復(fù)了Mac的網(wǎng)絡(luò)攝像頭漏洞，但安全問題依然存在

本周桌面聊天應(yīng)用程序公司因為緩慢移動以解決影響macOS用戶的潛在安全漏洞而受到抨擊。

Zoom本周發(fā)布了一個補丁，用于解決Mac版桌面視頻聊天應(yīng)用程序中的安全漏洞，該漏洞可能讓黑客控制用戶的網(wǎng)絡(luò)攝像頭。

該漏洞是由安全研究員Jonathan Leitschuh發(fā)現(xiàn)的，他在周一的博客文章中發(fā)布了有關(guān)它的信息。 Leitschuh說，這個缺陷可能會影響750,000家公司和大約400萬人使用Zoom。

Zoom表示，任何用戶都沒有受到影響。但對這個缺陷及其運作方式的擔憂引發(fā)了對其他類似應(yīng)用程序是否同樣容易受到攻擊的疑問。

該漏洞涉及Zoom應(yīng)用程序中的一項功能，通過一個獨特的URL鏈接即可立即將用戶啟動到視頻會議中，用戶只需單擊一下即可快速加入視頻通話。 （該功能旨在快速無縫地啟動應(yīng)用程序，以獲得更好的用戶體驗。）雖然Zoom讓用戶可以選擇在加入呼叫之前關(guān)閉相機 - 用戶以后可以在應(yīng)用程序的設(shè)置中關(guān)閉相機 - 默認就是打開相機。

Leitschuh認為該特征可用于惡意目的。通過將用戶引導(dǎo)到包含嵌入并隱藏在站點代碼中的快速加入鏈接的站點，攻擊者可以在未經(jīng)用戶許可的情況下切換攝像頭和/或麥克風的過程中啟動縮放應(yīng)用程序。這是可能的，因為Zoom還會在下載桌面應(yīng)用程序時安裝Web服務(wù)器。

安裝后，即使刪除了縮放應(yīng)用程序，Web服務(wù)器仍保留在設(shè)備上。

在Leitschuh的帖子發(fā)表后，Zoom淡化了對Web服務(wù)器的擔憂。然而，周二，該公司宣布將發(fā)布一個緊急補丁，以從Mac設(shè)備中刪除Web服務(wù)器。

“最初，我們沒有看到網(wǎng)絡(luò)服務(wù)器或視頻播放對我們的客戶構(gòu)成重大風險，事實上，他們認為這些對我們的無縫加入過程至關(guān)重要，”Zoom CISO Richard Farley在博客文章中說。 “但在聽到我們的一些用戶和安全社區(qū)在過去24小時內(nèi)的強烈抗議時，我們決定對我們的服務(wù)進行更新。”

據(jù)Techcrunch稱，蘋果周三還發(fā)布了一項“無聲”更新，確保在所有Mac設(shè)備上刪除網(wǎng)絡(luò)服務(wù)器。該更新還有助于保護刪除縮放的用戶。

企業(yè)客戶關(guān)注
對漏洞的嚴重性存在不同程度的擔憂。根據(jù)Buzzfeed新聞，Leitschuh將其嚴重程度分為8.5分（滿分10分）;根據(jù)自己的評估，縮放評級為3.1的缺陷。

Nemertes Research的副總裁兼服務(wù)總監(jiān)Irwin Lazar表示，該漏洞本身不應(yīng)成為企業(yè)關(guān)注的主要原因，因為用戶會很快注意到在桌面上啟動Zoom應(yīng)用程序。

“我不認為這是非常重要的，”他說。 “風險是有人點擊假裝參加會議的鏈接，然后他們的Zoom客戶端啟動并將他們連接到會議中。”如果視頻默認配置為開啟，則會看到用戶，直到他們意識到他們有無意中加入了一個會議。 “他們會注意到Zoom客戶端激活，他們會立即看到他們已加入會議。

“在最糟糕的情況下，他們在離開會議之前會在相機上停留幾秒鐘，”拉扎爾說。

Futurum Research的創(chuàng)始合伙人/首席分析師Daniel Newman表示，雖然漏洞本身并不會產(chǎn)生問題，但Zoom對此問題的回應(yīng)時間更令人擔憂。

“有兩種方式可以看待這種情況，”紐曼說。 “截至[星期三]，基于[星期二]發(fā)布的補丁，漏洞并不那么重要。

“然而，對于企業(yè)客戶而言，重要的是這個問題如何在未經(jīng)解決的情況下拖延數(shù)月，最初的補丁如何能夠回滾以重新創(chuàng)建漏洞，現(xiàn)在不得不問這個最新的補丁是否確實是永久的解決方案，“紐曼說。

Leitschuh說，他在4月底公司首次公開募股前幾周首次向Zoom報告了這個漏洞，并且最初被告知Zoom的安全工程師“不在辦公室。”一個完整的解決方案只在漏洞發(fā)生后才到位被公之于眾（雖然臨時解決方案在本周之前推出）。

“最終，Zoom迅速確認所報告的漏洞確實存在，但他們未能及時解決問題并將其解決，”他表示。 “這個配置文件的組織和擁有如此龐大的用戶群應(yīng)該更加主動地保護用戶免受攻擊。”

在周三的一份聲明中，Zoom首席執(zhí)行官Eric S Yuan稱該公司“錯誤判斷了這一情況