Zoom回应主要的Zoom漏洞可以让网站劫持你的Mac网络摄像头

2020-04-15 10:07:29

更新:Zoom说,它有一系列的更新计划来解决这些安全问题。

Mac上的Zoom视频会议应用程序披露了一个新的零日漏洞。 在一篇关于媒体的文章中,安全研究员乔纳森·利茨丘概述了这个缺陷,这可能会让网站接管你的Mac的相机。

当您在Mac上安装Zoom应用程序时,它还安装了一个Web服务器,它“接受常规浏览器不会的请求”,这是Verge详细介绍的。 是那个Web服务器似乎导致了这个漏洞。

从本质上讲,缩放Web服务器是作为后台进程运行的。 因此,任何网站都可以“强制连接用户到缩放电话,并在未经用户许可的情况下激活其摄像机。”如果您只需单击链接,您将自动加入启用相机的缩放电话会议,即使您不再安装缩放应用程序。

我们使用Leitschuh的中柱中的一个链接测试了漏洞,并立即连接到一个Zoom电话会议,并启用了我们的Mac相机。 这个漏洞中最令人不安的一个方面是,即使您卸载了缩放应用程序,它也能工作:

此外,如果您已经安装了Zoom客户端,然后卸载了它,那么您的机器上仍然有一个本地主机Web服务器,它将很高兴地为您重新安装Zoom客户端,除了访问网页之外,不需要代表您进行任何用户交互。 这个重新安装的“功能”继续工作到今天。

利齐赫在3月份首次披露了佐姆的脆弱性。 中报的时间表解释说,自那时以来,脆弱性一直是固定的,但这个月的回归使脆弱性再次发挥作用。 回归在今天是固定的,但莱茨楚发现了一个解决办法。

此外,Zoom缺乏“足够的自动更新功能”,根据Leitschuh的说法,这意味着仍然有用户运行旧版本的应用程序。

那你怎么保护自己呢? 最简单的方法是进入缩放设置窗口,并启用“加入会议时关闭我的视频”设置。 您还可以运行一系列终端命令来完全卸载Web服务器,这些命令可以在Leitschuh的中柱底部找到。

更多的技术细节,以及概念链接的证明,可以在媒体上找到。


郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。