Zoom Flaw Превръща Mac Cam в Spy Cam

Zoom Flaw Превръща Mac Cam в Spy Cam
Изследовател по сигурността намери недостатък в популярното приложение за видеоконференции Zoom, което може да се използва за включване на камерата на компютър Macintosh без разрешение на потребителя. Уязвимостта позволява на всеки уебсайт да се присъедини принудително към потребител към Zoom, с активирана видеокамера, без разрешение на потребителя, обясни Джонатан Лайтшух в публикация, публикувана в понеделник на Medium. Leitschuh е старши софтуерен инженер в Gradle, проект с отворен код, базиран в Сан Франциско. Неговата статия демонстрира как да вградите код в уеб сайт, така че всички потребители на Zoom, които се приземят там, ще бъдат незабавно свързани към срещата на Zoom с техните работещи видеокамери. Кодът може да се използва в злонамерена реклама или в кампания за фишинг, пише той. Потребител в пълен контрол Zoom противоречи на някои от заключенията на Leitschuh в понеделник от главния информационен директор Ричард Фарли, включително твърдението, че домакин на среща може да включи видео по подразбиране. Хостове или участници не могат да заместват аудио и видео настройките на потребителя, пише Фарли. Това включва включване или изключване на камерата. Би било трудно за нечестните потребители да скрият участието си на среща, твърди Фарли. „Тъй като потребителският интерфейс на Zoom клиентът се изпълнява на преден план при стартирането, ще бъде очевидно за потребителя, че неволно са се присъединили към среща и могат да променят настройките си за видео или да напуснат незабавно”, пише той. Zoom не е видял нито един случай на уязвимост на Leitschuh да се експлоатира в дивата природа, пише Фарли. Въпреки това, при следващото ъпгрейдване на Zoom, потребителите ще могат да прилагат автоматично настройките, които са използвали за първата си сесия на Zoom, за всички бъдещи сесии автоматично, отбеляза той. Цел на гърба на мащаба Leitschuh също така откри, че уязвимостта, която е открил, може да се използва за стартиране на атака с отказ на услуга на отделна машина. Това ще позволи изпращането на многократни заявки за срещи на Mac, което в крайна сметка ще го заключи. – Нямаме данни, че това се е случило – написа Фарли. Въпреки това, той призна, че компанията пусна решение за проблема през май, макар че Zoom не принуди потребителите си да се актуализират, защото това е емпирично уязвимост с нисък риск. Leitschuh критикува инсталирането на Zoom кода на уеб сървъра, за да може клиентът му да актуализира и инсталира нови версии. Този код остава на машината, дори ако мащабирането е деинсталирано от компютър. „Всеки потребител на Zoom има уеб сървър, който приема HTTP GET заявки, които задействат код извън пясъчника на браузъра, и рисува огромна цел на гърба на Zoom“, пише той. Leitschuh не е сам в критиката си към Zoom. „Оставянето на сървър да работи дори и след деинсталирането е неприемливо“, казва Мартин Хрон, изследовател по сигурността в Avast , със седалище в Прага, Чешката република. Avast създава софтуер за сигурност, включително антивирусни програми за Mac. Работа около бедните UX Уеб сървърът с ограничена функционалност беше заобиколен начин за адаптиране на промените, направени в Safari 12, обясни Фарли. Тези промени накараха потребителите да потвърдят, че искат да стартират клиента за мащабиране всеки път, когато се присъединят към среща. Локалният уеб сървър позволява на потребителите да се присъединяват директно към срещите, без да преминават през тази стъпка. „Смятаме, че това е легитимно решение на проблем с потребителския опит, което позволява на нашите потребители да имат по-бързи срещи с едно кликване,“ пише Фарли. „Ние не сме сами сред доставчиците на видео-конферентни връзки при прилагането на това решение“, добави той. Няма лесен начин да се премахнат както Zoom клиента, така и приложението за уеб сървър на Mac, след като клиентът Zoom бъде пуснат, призна Фарли, но добави, че до този уикенд се очаква ново приложение за деинсталиране на двата файла. До този момент, потребителите трябва да деактивират настройката, която включва камерата, когато се присъедините към среща, както и да забраните на браузъра автоматично да отваря приложението Zoom за Zoom връзките, Хронът на Avast е казал на TechNewsWorld. Поверителност Кошмар Уязвимостта може да бъде лоша новина за потребителите на Mac на Zoom, които са на брой над 4 милиона, според Leitschuh. „Въпреки че повечето потребители на Zoom са в предприятието, те все още са потребители, и тази уязвимост може да доведе до кошмар за поверителност, ако техните работещи компютри се използват у дома или по лични причини“, каза Хрон. „Всеки уебсайт може да включи клиента за мащабиране с активиран видео канал, който по същество може да превърне случайната сесия в сърфиране в сериозно нахлуване в личния живот в дома,“ обясни той. Поддържането на вашия фотоапарат и аудио на вашия Mac без ваше знание може да създаде редица сценарии с лоши резултати, предложи Грег Йънг, вицепрезидент за Cybersecurity в Trend Micro , доставчик на решения за киберсигурност със седалище в Токио. „Един от тези резултати може да бъде използването на заснетия видеоклип или екранни снимки за изнудване“, каза той пред TechNewsWorld. „Друг е, когато въвеждате информация за кредитна карта онлайн, всички държим картата пред нас с оглед на камерата и обикновено я преобръщат поне веднъж“, каза Йънг. Бизнесът също трябва да се притеснява, отбеляза Адам Куджава, директор на лабораторията в Malwarebytes , базиран в Калифорния производител на софтуер за защита срещу зловреден софтуер за Microsoft Windows, MacOS, Android и iOS. „Ако нещо, което е казано и показано на камерата, може да бъде шпионирано, това може да бъде много опасно за една компания с много IP, за да се скрие“, каза той пред TechNewsWorld. Трудно е да се оръжия, лесно да се използва За киберпрестъпниците трудно би било оръжията да бъдат оръжия в каквато и да е ефективна форма, каза Куджава, но лекотата на експлоатация би предизвикала зло. „Просто изпратете убедителна електронна поща с връзка, която сочи към локален сървър и изчакайте потребителите да кликнат“, отбеляза той, „или да го споделите в социалните медии.“ Практиката в индустрията е да даде на производител на софтуер 90 дни, за да отстрани недостатъците, открити от ловците на бъгове. „За съжаление, Zoom не е решил тази уязвимост в предоставения от мен 90-дневен прозорец за разкриване, както е в индустриалния стандарт“, пише Leitschuh. „Четирите плюс милиона потребители на Zoom на Mac сега са уязвими за нахлуване в личния им живот чрез използването на тази услуга.“ Джон П. Мело младши е репортер на ECT News Network от 2003 г. Неговите области на фокус включват киберсигурност, ИТ въпроси, неприкосновеност на личния живот, електронна търговия, социални медии, изкуствен интелект, големи данни и потребителска електроника. Той е писал и редактирал множество публикации, включително Boston Business Journal , Boston Phoenix , Megapixel.Net и правителствените новини за сигурността . Имейл на Джон.
http://www.technewsworld.com/story/Zoom-Flaw-Turns-Mac-Cam-into-Spy-Cam-86116.html
2019-07-10 12:07:47