Jakýkoli počítač Mac s telekonferenční aplikací Zoom lze nyní sledovat. Ano, je to špatný den pro zabezpečení Apple, protože škodlivé weby lze kódovat pro vzdálené zahájení videokonferenčního hovoru na vašem počítači Mac - a útok lze dokonce odeslat e -mailem.
Tato zpráva, kterou odhalil výzkumník zabezpečení Jonathan Leitschuh, ukazuje, že i Macy, které již nemají nainstalovaný Zoom - ale jednou ano - jsou zranitelné. Dobrou zprávou však je, že existují řešení (jedno je však velmi obtížné) a zdá se, že Zoom vše brzy napraví.
Co teď
Oprava, díky tomu, že Zoom změnil svůj postoj, se zdá být stejně jednoduchá jako přijímání aktualizací Zoom, jakmile dorazí. V aktualizaci velkého příspěvku blogu Zoom o chybě společnost uvedla, že patch, který přijde dnes večer (9. července) ve 3:00 nebo před 3:00 EST/půlnoci PST, vyřeší věci. Uživatelé budou vyzváni k aktualizaci aplikace a po dokončení aktualizace „místní webový server bude na tomto zařízení zcela odstraněn“.
Aktualizace také údajně zlepší postup odinstalace. V příspěvku Zoom je uvedeno „Přidáváme novou možnost na lištu nabídek Zoom, která uživatelům umožní ručně a úplně odinstalovat klienta Zoom včetně místního webového serveru.“
Těšíme se, až uvidíme, jestli si Jonathan Leitschuh a další bezpečnostní výzkumníci myslí, že Zoom dělá důkladnou a správnou práci.
Chcete -li zabezpečit svůj Mac, otevřete Nastavení pro přiblížení - na liště nabídek klikněte na Lupa, poté klikněte na Nastavení - a otevřete sekci Video. Poté zaškrtněte políčko „Vypnout moje video při připojení ke schůzce“.
Ve svém příspěvku Leitschuh také sdílel kód pro použití v terminálu. Tyto pokyny se trochu komplikují a jsou nejlepší pro technicky zdatné uživatele, kteří by tomu dali přednost. Tyto tipy jsou určeny k vymýcení webového serveru, který Zoom vytváří na Macu.
Jak to funguje
Ano, to vše je možné, protože Zoom tajně nainstaluje na Mac webový server, který přijímá - a přijímá - požadavky, které vaše webové prohlížeče ne. Leitschuh vysvětlil, že se pokusil spolupracovat se společností Zoom, oslovil společnost loni v březnu, ale že její „řešení nestačila k plné ochraně jejich uživatelů“.
Také, jak jsem již zmínil, jsou zranitelní i ti uživatelé, kteří si odinstalovali Zoom ze svých počítačů Mac. Leitschuh vysvětluje, že webový server nainstalovaný programem Zoom zůstává pozadu i po odebrání programu a že server lze vzdáleně spustit a aktualizovat a automaticky nainstalovat nejnovější verzi programu Zoom.
A oběť ani nemusí být podvedena k otevření webové stránky. Za prvé, uživatel Vimeo „fun jon“ zveřejnil video důkazy o tom, že můžete na tuto chybu zaútočit e -mailem, a cíl ani nemusí zprávu otevřít. Stačí, aby používali aplikaci e -mailového klienta, která stáhne škodlivě kódovanou zprávu.
Poté, co se Leitschuh hádal s Zoomem, tvrdil, že řekl společnosti, že „umožnit hostiteli zvolit si, zda se účastník automaticky připojí k videu“, je „samostatná chyba zabezpečení“, společnost nesouhlasila a své rozhodnutí považovala za pro-user: „Zoom věří v to, že dává našim zákazníkům možnost vybrat si, jak chtějí zoomovat. “
Chcete to vidět na vlastní oči?
Pokud jste někdy měli na svém počítači Zoom, můžete se o tom přesvědčit sami.
Vyhledejte na blogu Leitschuh frázi „zoom_vulnerability_poc/“ - protože to je odkaz na jeho důkaz konceptu, který spouští volání Zoom. První je verze pouze pro zvuk; druhý odkaz, který v adrese URL obsahuje „iframe“, zahájí hovor s aktivním videem.
Tato chyba zabezpečení Zoom je banány. Zkoušel jsem jeden z důkazů koncepčních odkazů a připojil se ke třem dalším randům, kteří o tom také v reálném čase šíleli. https://t.co/w7JKHk8nZypic.twitter.com/arOE6DbQaf - Matt Haughey (@mathowie) 9. července 2022-2023
Tento článek se původně objevil v Tomově průvodci.
- Recenze beta macOS Catalina
- Použil jsem myš s iPadOS a tady je návod, jak to funguje
- Recenze beta verze iPadOS