Zoom修復了Mac的網絡攝像頭漏洞，但安全問題依然存在

admin

Zoom修復了Mac的網絡攝像頭漏洞，但安全問題依然存在

本周桌面聊天應用程序公司因為緩慢移動以解決影響macOS用戶的潛在安全漏洞而受到抨擊。

Zoom本周發布了一個補丁，用于解決Mac版桌面視頻聊天應用程序中的安全漏洞，該漏洞可能讓黑客控制用戶的網絡攝像頭。

該漏洞是由安全研究員Jonathan Leitschuh發現的，他在周一的博客文章中發布了有關它的信息。 Leitschuh說，這個缺陷可能會影響750,000家公司和大約400萬人使用Zoom。

Zoom表示，任何用戶都沒有受到影響。但對這個缺陷及其運作方式的擔憂引發了對其他類似應用程序是否同樣容易受到攻擊的疑問。

該漏洞涉及Zoom應用程序中的一項功能，通過一個獨特的URL鏈接即可立即將用戶啟動到視頻會議中，用戶只需單擊一下即可快速加入視頻通話。 （該功能旨在快速無縫地啟動應用程序，以獲得更好的用戶體驗。）雖然Zoom讓用戶可以選擇在加入呼叫之前關閉相機 - 用戶以后可以在應用程序的設置中關閉相機 - 默認就是打開相機。

Leitschuh認為該特征可用于惡意目的。通過將用戶引導到包含嵌入并隱藏在站點代碼中的快速加入鏈接的站點，攻擊者可以在未經用戶許可的情況下切換攝像頭和/或麥克風的過程中啟動縮放應用程序。這是可能的，因為Zoom還會在下載桌面應用程序時安裝Web服務器。

安裝后，即使刪除了縮放應用程序，Web服務器仍保留在設備上。

在Leitschuh的帖子發表后，Zoom淡化了對Web服務器的擔憂。然而，周二，該公司宣布將發布一個緊急補丁，以從Mac設備中刪除Web服務器。

“最初，我們沒有看到網絡服務器或視頻播放對我們的客戶構成重大風險，事實上，他們認為這些對我們的無縫加入過程至關重要，”Zoom CISO Richard Farley在博客文章中說。 “但在聽到我們的一些用戶和安全社區在過去24小時內的強烈抗議時，我們決定對我們的服務進行更新。”

據Techcrunch稱，蘋果周三還發布了一項“無聲”更新，確保在所有Mac設備上刪除網絡服務器。該更新還有助于保護刪除縮放的用戶。

企業客戶關注
對漏洞的嚴重性存在不同程度的擔憂。根據Buzzfeed新聞，Leitschuh將其嚴重程度分為8.5分（滿分10分）;根據自己的評估，縮放評級為3.1的缺陷。

Nemertes Research的副總裁兼服務總監Irwin Lazar表示，該漏洞本身不應成為企業關注的主要原因，因為用戶會很快注意到在桌面上啟動Zoom應用程序。

“我不認為這是非常重要的，”他說。 “風險是有人點擊假裝參加會議的鏈接，然后他們的Zoom客戶端啟動并將他們連接到會議中。”如果視頻默認配置為開啟，則會看到用戶，直到他們意識到他們有無意中加入了一個會議。 “他們會注意到Zoom客戶端激活，他們會立即看到他們已加入會議。

“在最糟糕的情況下，他們在離開會議之前會在相機上停留幾秒鐘，”拉扎爾說。

Futurum Research的創始合伙人/首席分析師Daniel Newman表示，雖然漏洞本身并不會產生問題，但Zoom對此問題的回應時間更令人擔憂。

“有兩種方式可以看待這種情況，”紐曼說。 “截至[星期三]，基于[星期二]發布的補丁，漏洞并不那么重要。

“然而，對于企業客戶而言，重要的是這個問題如何在未經解決的情況下拖延數月，最初的補丁如何能夠回滾以重新創建漏洞，現在不得不問這個最新的補丁是否確實是永久的解決方案，“紐曼說。

Leitschuh說，他在4月底公司首次公開募股前幾周首次向Zoom報告了這個漏洞，并且最初被告知Zoom的安全工程師“不在辦公室。”一個完整的解決方案只在漏洞發生后才到位被公之于眾（雖然臨時解決方案在本周之前推出）。

“最終，Zoom迅速確認所報告的漏洞確實存在，但他們未能及時解決問題并將其解決，”他表示。 “這個配置文件的組織和擁有如此龐大的用戶群應該更加主動地保護用戶免受攻擊。”

在周三的一份聲明中，Zoom首席執行官Eric S Yuan稱該公司“錯誤判斷了這一情況