Zoom Mac版安全漏洞曝光:恶意网站可轻松劫持摄像头

2019-08-13 14:55:53 admin

据外媒报道,当地时间7月9日,安全研究员Jonathan Leitschuh公开披露了在Mac电脑上Zoom视频会议应用中出现的一个严重零日漏洞。他已经证明,任何网站都可以在安装了Zoom应用的Mac电脑上打开视频通话。


这在一定程度上是可行的,因为Zoom应用在Mac电脑上安装了一个网络服务器用于接收普通浏览器不会接收的请求。


事实上,即便卸载了Zoom, 网络服务器仍会持续存在,并且可以在不需要用户干预的情况下重新安装Zoom。


Twitter也有其他用户报告了这个漏洞。



据Leitschuh披露,他在3月底发现了这一漏洞并给这家公司90天时间来解决这个问题,然而最后Zoom似乎并没有做好充足的工作。Chrome和Mozilla团队也都发现了这个漏洞,但由于这不是其浏览器的问题,所以这些开发人员也无能为力。


不过目前用户可以自己“修补”这个问题,他们要确保自己的Mac应用是最新的并禁用允许Zoom打开其相机参加会议的设置,见下图



精通技术的用户可以找到并删除应用程序,但对于我们其余的人,应该改变视频设置并保持应用程序更新。目前还没有迹象表明Zoom会进行重大技术上的改变,以解决这个架构上的弱点,所以改变视频设置并保持它的改变,似乎是避免遭到攻击的最佳方式。


在一份声明中,Zoom确认了这个问题,并承认“如果攻击者能够诱使目标用户点击指向攻击者Zoom会议的Web链接,无论是在电子邮件消息中还是在网络服务器上,目标用户都可能在不知情的情况下加入攻击者的Zoom会议。”


Zoom补充说,其7月份的更新“将应用并保存用户从第一次Zoom会议到未来所有Zoom会议的视频首选项。用户和系统管理员仍然可以配置他们的客户端视频设置,以便在加入会议时关闭视频。此更改将应用于所有客户端平台。”


Zoom表示:“我们非常认真地对待与我们产品相关的所有安全问题,并有一个专门的安全团队。我们承认,我们的网站目前没有为报告安全问题提供明确的信息。在未来几周,Zoom将使用其公共漏洞奖励计划,补充我们现有的私人奖励计划。”


猜你喜欢  

坑了全国70万考生的公司,是如何垄断全国报考的?

臭名昭著的黑客tessa88的真实身份揭晓

代号“Oplcarus 2.0”:匿名者行动仍在继续

“黑客教父”郭盛华?膜拜!

黑客威胁公开911文件:不能再让主流媒体掩盖真相

上有运维删库跑路,下有程序员锁死服务器使公司600万项目流产?究竟是谁的锅...

被抓了!那个搞微信支付勒索病毒的95后

网络安全思维导图(全套11张)

一个BUG薅拼多多200亿羊毛?拼多多:“优惠券漏洞”事件是黑灰产套券欺诈行为

服务热线

17884544032

公司地址

安徽省合肥市蜀山区鑫鹏大厦

作息时间

周一至周五 9:00-18:00