Уязвимость Zoom открывает возможность для слежки через камеру Mac

Уязвимость Zoom открывает возможность для слежки через камеру Mac

В приложении Zoom для проведения видеоконференций обнаружена критическая уязвимость, которая позволяет любому вредоносному сайту включать камеру на компьютерах Mac без разрешения и использовать ее для слежки.

Подробную информацию о проблеме обнародовал исследователь безопасности Джонатан Лейтшух (Jonathan Leitschuh). По его словам, Zoom Client загружает на компьютер Mac собственный веб-сервер, который принимает запросы, недоступные для традиционных браузеров и автоматически подключает пользователя к вызову конференц-связи, активизируя камеру.

Более того, если приложение хотя бы раз было установлено, а затем удалено, то веб-сервер сохраняется на компьютере и может переустановить Zoom Client без участия владельца Mac.

Лейтшух утверждает, что сообщал компании об уязвимости, обнаруженной еще в конце марта, и пообещал не разглашать информацию, если Zoom устранит ошибку в течение двух месяцев. Он предложил «быстрый способ исправления» с помощью простого изменения логики сервера. Однако реакции не последовало, как и решения проблемы.

Исследователь считает, что автоматическое включение камеры является не самой большой опасностью. Более серьезные неприятности может принести веб-сервер Zoom.

«В старой версии приложения можно было осуществить DOS-атаку, многократно присоединяя пользователя к неправильному вызову»,

– отметил  Лейтшух.

Он предлагает метод для самостоятельного решения проблемы с помощью отключения параметра для автоматической активизации камеры во время присоединения к сеансу видеоконференции. Продвинутые пользователи могут воспользоваться рекомендациями по отключению веб-сервера, запустив несколько специальных команд.

Недавно ряд критических уязвимостей был обнаружен в системе безопасности блокчейн-сети Monero (XMR), одна из которых позволяет хакерам красть средства криптобирж.

Оставьте свой комментарий