С помощью бага злоумышленники могут получить доступ к камере компьютера.
Исследователь безопасности Джонатан Лейтшу (Jonathan Leitschuh) раскрыл информацию о серьезной уязвимости в сервисе для организации видеоконференций Zoom, благодаря которой злоумышленники могут удаленно выполнить произвольный код на целевой системе.
Проблема связана с одной из функций в Zoom, которая автоматически активирует приложение, позволяя участникам присоединиться к видеоконференции, кликнув на приглашение в браузере. Как выяснилось, для работы данного функционала Zoom устанавливает на систему web-сервер (порт 19421), который получает команды через запросы HTTPS GET, при этом с сервером может взаимодействовать любой сайт, открытый в браузере. Для компрометации злоумышленнику потребуется всего лишь создать ссылку-приглашение в своей учетной записи на официальном сайте Zoom, встроить ее в сторонний ресурс (изображение или iFrame) и убедить пользователя посетить этот ресурс. Если владелец Мас, на котором установлено ПО Zoom, посетит вредоносный сайт, приложение принудительно запустится на компьютере и активирует web-камеру, подвергая пользователя риску атак.
Примечательно, что деинсталляция Zoom не поможет решить проблему, поскольку web-сервер автоматически переустановит приложение без участия и разрешения пользователя. Помимо активации камеры, злоумышленник может использовать данную уязвимость для вывода Мас из строя, просто отправив большое количество повторяющихся GET запросов на локальный сервер.
Исследователь проинформировал разработчика платформы о проблеме, однако спустя 90 дней компания Zoom не устранила уязвимость. В конечном итоге, отметил Лейтшу, Zoom частично исправила баг, отключив возможность активации камеры, однако проблема, позволявшая атакующему принудительно подключить к конференции посетивших вредоносный сайт по-прежнему остается актуальной.
Описанная выше уязвимость затрагивает последнюю версию Zoom (4.4.4) для macOS. К счастью, пользователи могут решить проблему самостоятельно, отключив в настройках Zoom опцию, автоматически активирующую камеру при подключении к видеоконференции.
Zoom – популярная облачная конференц-платформа, позволяющая проводить видеоконференции, вебинары, online-обучение или виртуальные встречи.
Наш канал — питательная среда для вашего интеллекта