更多

    視像會議服務 Zoom 軟件發現漏洞 一條連結可騎劫 Mac 機鏡頭

    Mickey Chan
    Mickey Chan
    愛模擬飛行、希望終有一日回到單車上的宅,眼鏡娘控。座右銘: 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    網絡保安研究員 Jonathan Leitschuh 日前公開視像會議服務供應商 Zoom 為 Mac 機而設計的程式存在漏洞,在 Mac 機裡安裝了一個伺服器來自動在幕後安裝 Zoom 的會議程式,這讓網站有機會透過特別的連結,未得用戶同意下在 Mac 機上自動開啟視像會議,偷看受害者的活動。 Zoom 在漏洞被公開之後終於推出修正檔修正漏洞。

    Zoom 為個人和企業用戶提供視像會議產品和服務
    Zoom 為個人和企業用戶提供視像會議產品和服務

    有關的漏洞是由 Zoom 的 Mac 程式裡裝了一個網頁伺服器引發的,該伺服器會接受請求來自動開啟視像會議,而即使用戶移除了該程式,網頁伺服器仍然會殘留在機內繼續接受請求,而且還會自動在 Mac 機裡全裝 Zoom 程式,但沒有請求用戶批准。

    根據 Leitschuh 的示範,用戶如果之前在 Mac 機上安裝過 Zoom 的會議程式,只要點擊連結,就會自動開啟 Mac 機的鏡頭加入會議,而事前不需要 Mac 機用戶同意。而在 Twitter 上亦有網民證實漏洞可行,可以開啟不認識的人的 Webcam 實時觀看對方一舉一動。另外,惡意攻擊者還可以不停向 Mac 機上的伺服器發送大量請求,來癱瘓該 Mac 機。

    由於程式在 Mac 機裡安裝的網頁伺服器會在幕後執行,只要一條簡單連結就可以自動開啟視像會議。
    由於程式在 Mac 機裡安裝的網頁伺服器會在幕後執行,只要一條簡單連結就可以自動開啟視像會議。

    其實 Leitschuh 三月時就已知會 Zoom 方面,並給他們 30 日時間修正漏洞。但 Zoom 沒有如期修正,所以 Leitschuh 就依照原定日程公開有關漏洞。 Leitschuh 亦同時通知了 Chrome 和 Firefox 的開發團隊,不過由於這個漏洞不是出自那些瀏覽器,所以兩個團隊都無法做甚麼修補。

    最初 Zoom 認為這只是個低風險漏洞,指這功能可以方便用戶參加視像會議。不過最終 Zoom 亦低頭,發布更新檔刪除裝在 Mac 機上的網頁伺服器。修正檔同時提供手動完全移除 Zoom 程式的選項。 Zoom 還公布會在本周末推出另一次更新,用戶可以選擇在開啟新會議時預設關閉 Webcam 。

    Zoom 本來堅持使用網頁伺服器存在很大風險,但聽取了網絡保安社群的意見後,決定推出修訂移除伺服器。
    Zoom 本來堅持使用網頁伺服器存在很大風險,但聽取了網絡保安社群的意見後,決定推出修訂移除伺服器。

    您會感興趣的內容

    相關文章