Исследователь безопасности Джонатан Лейтшух обнародовал информацию о серьёзной уязвимости в популярном приложении для веб-конференций Zoom, которая позволяет любому сайту получить доступ к камере и открыть видеовызов без разрешения пользователя Mac, сообщают ZDNet и Securitylab.
Проблема связана с функцией, с помощью которой можно автоматически присоединиться к видеоконференции в Zoom, нажав на ссылку-приглашение в браузере. Для этого приложение устанавливает на систему веб-сервер, который получает команды через запросы HTTPS GET, при этом с ним может взаимодействовать любой сайт, открытый в браузере. Для компрометации злоумышленнику нужно лишь создать приглашение в своей учётной записи на официальном сайте Zoom, встроить её в сторонний ресурс и убедить пользователя Мас посетить его. Приложение принудительно запустится на компьютере и активирует веб-камеру, подвергая пользователя риску атак.
Опасность сохраняется даже после деинсталляции Zoom — локальный веб-сервер автоматически переустановит приложение без участия или разрешения пользователя. Помимо активации камеры, баг можно использовать для вывода Мас из строя, просто отправив большое количество повторяющихся GET-запросов на локальный сервер.
Разработчики Zoom частично исправили уязвимость, отключив возможность активации камеры. Но проблема, позволявшая атакующему принудительно подключить к конференции посетивших вредоносный сайт по-прежнему актуальна.
Уязвимость касается последней версии Zoom (4.4.4) для macOS и затрагивает более 4 млн пользователей компьютеров Apple. Чтобы обезопасить себя, им рекомендуют отключить автоматическую активацию камеры при подключении к видеоконференции в настройках Zoom.
Обновление: Apple выпустила патч, который удаляет скрытый веб-сервер Zoom, остававшийся на системе после деинсталяции приложения. Исправление устанавливается автоматически и не требует взаимодействия с пользователем.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.