網絡保安研究員 Jonathan Leitschuh 日前公開視像會議服務供應商 Zoom 為 Mac 機而設計的程式存在漏洞,在 Mac 機裡安裝了一個伺服器來自動在幕後安裝 Zoom 的會議程式,這讓網站有機會透過特別的連結,未得用戶同意下在 Mac 機上自動開啟視像會議,偷看受害者的活動。 Zoom 在漏洞被公開之後終於推出修正檔修正漏洞。
有關的漏洞是由 Zoom 的 Mac 程式裡裝了一個網頁伺服器引發的,該伺服器會接受請求來自動開啟視像會議,而即使用戶移除了該程式,網頁伺服器仍然會殘留在機內繼續接受請求,而且還會自動在 Mac 機裡全裝 Zoom 程式,但沒有請求用戶批准。
This Zoom vulnerability is bananas. I tried one of the proof of concept links and got connected to three other randos also freaking out about it in real time. https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf
— Matt Haughey 😷 (@mathowie) July 9, 2019
根據 Leitschuh 的示範,用戶如果之前在 Mac 機上安裝過 Zoom 的會議程式,只要點擊連結,就會自動開啟 Mac 機的鏡頭加入會議,而事前不需要 Mac 機用戶同意。而在 Twitter 上亦有網民證實漏洞可行,可以開啟不認識的人的 Webcam 實時觀看對方一舉一動。另外,惡意攻擊者還可以不停向 Mac 機上的伺服器發送大量請求,來癱瘓該 Mac 機。
其實 Leitschuh 三月時就已知會 Zoom 方面,並給他們 30 日時間修正漏洞。但 Zoom 沒有如期修正,所以 Leitschuh 就依照原定日程公開有關漏洞。 Leitschuh 亦同時通知了 Chrome 和 Firefox 的開發團隊,不過由於這個漏洞不是出自那些瀏覽器,所以兩個團隊都無法做甚麼修補。
最初 Zoom 認為這只是個低風險漏洞,指這功能可以方便用戶參加視像會議。不過最終 Zoom 亦低頭,發布更新檔刪除裝在 Mac 機上的網頁伺服器。修正檔同時提供手動完全移除 Zoom 程式的選項。 Zoom 還公布會在本周末推出另一次更新,用戶可以選擇在開啟新會議時預設關閉 Webcam 。