Każdy komputer Mac z aplikacją do telekonferencji Zoom może być teraz szpiegowany. Tak, to zły dzień dla bezpieczeństwa Apple, ponieważ złośliwe strony internetowe można zakodować, aby zdalnie rozpocząć wideokonferencję na komputerze Mac – a atak można nawet wysłać pocztą e-mail.
Ta wiadomość, ujawniona przez badacza bezpieczeństwa Jonathana Leitschuha, pokazuje, że nawet komputery Mac, które nie mają już zainstalowanego Zooma – ale kiedyś miał – są podatne na ataki. Dobrą wiadomością jest jednak to, że istnieją rozwiązania (jednak jest to bardzo trudne), a Zoom wydaje się, że wkrótce to wszystko naprawi.
Co zrobić teraz
Poprawka, dzięki zmianie stanowiska Zoom, wydaje się być tak prosta, jak akceptowanie aktualizacji Zoom po ich nadejściu. W aktualizacji dużego wpisu na blogu Zooma na temat usterki, firma poinformowała, że łatka pojawi się dziś wieczorem (9 lipca) o godzinie 3 rano czasu wschodniego/północ PST. Użytkownicy zostaną poproszeni o zaktualizowanie aplikacji, a po zakończeniu aktualizacji „lokalny serwer sieciowy zostanie całkowicie usunięty z tego urządzenia”.
Aktualizacja podobno poprawi również procedurę odinstalowywania. Post Zoom stwierdza: „Dodajemy nową opcję do paska menu Zoom, która pozwoli użytkownikom ręcznie i całkowicie odinstalować klienta Zoom, w tym lokalny serwer sieciowy”.
Nie możemy się doczekać, aby zobaczyć, czy Jonathan Leitschuh i inni badacze bezpieczeństwa uważają, że Zoom wykonuje dokładną i właściwą pracę.
Aby zabezpieczyć komputer Mac, otwórz Ustawienia powiększenia - kliknij w Powiększenie na pasku menu, a następnie kliknij w Ustawienia - i otwórz sekcję Wideo. Następnie zaznacz pole „Wyłącz mój film wideo, gdy dołączasz do spotkania”.
W swoim poście Leitschuh udostępnił również kod do użytku w Terminalu. Te instrukcje stają się nieco skomplikowane i są najlepsze dla doświadczonych użytkowników super-tech, którzy woleliby to. Te wskazówki mają na celu wyeliminowanie serwera internetowego, który Zoom tworzy na komputerze Mac.
Jak to działa
Tak, to wszystko jest możliwe, ponieważ Zoom potajemnie instaluje serwer sieciowy na komputerach Mac, który odbiera – i akceptuje – żądania, których nie odbierałyby Twoje przeglądarki internetowe. Leitschuh wyjaśnił, że próbował współpracować z firmą Zoom, kontaktując się z firmą w marcu zeszłego roku, ale jej „rozwiązania nie wystarczały, aby w pełni chronić ich użytkowników”.
Ponadto, jak wspomniałem wcześniej, nawet ci użytkownicy, którzy odinstalowali Zoom ze swoich komputerów Mac, są podatni na ataki. Leitschuh wyjaśnia, że serwer sieciowy zainstalowany przez Zoom pozostaje w tyle nawet po usunięciu programu i że serwer może zostać zdalnie uruchomiony w celu aktualizacji i automatycznej instalacji najnowszej wersji Zoom.
Aha, a ofiary nie trzeba nawet nakłaniać do otwarcia strony internetowej. Po pierwsze, użytkownik Vimeo „fun jon” opublikował wideo dowód, że można zaatakować tę lukę za pośrednictwem poczty e-mail, a cel nie musi nawet otwierać wiadomości. Muszą tylko korzystać z aplikacji klienta poczty e-mail, która pobiera złośliwie zakodowaną wiadomość.
Po tym, jak Leitschuh pokłócił się z Zoom, twierdząc, że „pozwolenie gospodarzowi na wybór, czy uczestnik automatycznie dołączy do wideo” jest „samodzielną luką w zabezpieczeniach”, firma nie zgodziła się, pozycjonując swoją decyzję jako pro-użytkownika: „Zoom wierzy w umożliwienie naszym klientom wyboru sposobu, w jaki chcą powiększać."
Chcesz to zobaczyć na własne oczy?
Jeśli kiedykolwiek miałeś Zoom na swojej maszynie, możesz to zobaczyć na własne oczy.
Przeszukaj wpis na blogu Leitschuha, aby znaleźć frazę „zoom_vulnerability_poc/” - ponieważ jest to link do jego weryfikacji koncepcji, która uruchamia wezwanie Zoom. Pierwsza to wersja tylko audio; drugi link, który zawiera element „iframe” w adresie URL, rozpoczyna połączenie z aktywnym wideo.
Ta luka Zoom to banany. Wypróbowałem jeden z linków do weryfikacji koncepcji i połączyłem się z trzema innymi osobami, które również wariowały na ten temat w czasie rzeczywistym. https://t.co/w7JKHk8nZypic.twitter.com/arOE6DbQaf - Matt Haughey (@mathowie) 9 lipca 2022-2023
Ten artykuł pierwotnie ukazał się w Tom's Guide.
- Recenzja macOS Catalina Beta
- Używałem myszy z iPadOS i oto jak to działa
- Recenzja beta iPada