Foto: Alex Cranz (Gizmodo)
Op maandag -, security-onderzoeker Jonathan Leitschuh in het openbaar een ernstige zero-day kwetsbaarheid in conferencing software Zoom—die blijkbaar realiseert de click-to-join-functie, die gebruikers in staat stelt om direct te gaan naar een video-vergadering van een browser op een link, op een Mac-computer door het installeren van een lokale web server draait als een achtergrond proces dat “accepteert verzoeken reguliere browsers zou het niet,” volgens de Berm. Als een resultaat, Zoom kan worden gekaapt door een website te dwingen een Mac-gebruiker deelnemen aan een gesprek, zonder hun toestemming, en met webcams geactiveerd, tenzij er een specifieke instelling is ingeschakeld.
Erger nog, Leitschuh schreef dat de lokale web server blijft bestaan, zelfs wanneer de Zoom is verwijderd en is geschikt voor het opnieuw installeren van de app op zijn eigen, en dat, wanneer hij contact op met het bedrijf ze deed weinig om de problemen te verhelpen.
In een Middelgrote post op maandag, Leitschuh voorzien van een demo in de vorm van een link die, wanneer erop geklikt wordt, nam Mac-gebruikers die ooit de installatie van de app een conferentie die de kamer met hun video camera ‘ s geactiveerd (het is hier, als je moet proberen jezelf). Leitschuh opgemerkt dat de code om dit te doen kan worden ingebed in een website als “een kwaadaardige advertenties, of het kan worden gebruikt als onderdeel van een phishing-campagne.” Bovendien Leitschuh schreef dat, zelfs als de gebruikers verwijderen Zoom, de onveilige lokale web server aanhoudt en “graag opnieuw installeren van de Zoom cliënt, zonder dat enige interactie van de gebruiker namens u naast het bezoeken van een webpagina.”
Deze uitvoering laat open andere snode manieren misbruik te maken van de lokale web server, per de Rand:
Het inschakelen van de camera is al erg genoeg, maar het bestaan van de webserver op hun computers kunnen leiden tot meer ernstige problemen voor Mac-gebruikers. Bijvoorbeeld, in een oudere versie van de Zoom (sinds patched), was het mogelijk om vast te stellen van een weigering van service aanval op een Mac door voortdurend het pingen van de server van het web: “Door gewoon het verzenden van herhaalde aanvragen voor een slecht nummer, Zoom app constant zou vragen ‘focus’ van de OS,” Leitschuh schrijft.
Volgens Leitschuh, nam hij contact op Zoom op 26 Maart, zeggende: hij zou bekendmaken de exploit in 90 dagen. Zoom deed probleem een “quick fix” patch die alleen met een handicap “een vergadering van de maker mogelijkheid om automatisch inschakelen van de deelnemers video standaard,” voegde hij eraan toe, maar dit was verre van een complete oplossing (en heeft niets te ontkennen dat de “mogelijkheid voor een aanvaller geweld aan te sluiten voor een gesprek iedereen het bezoeken van een kwaadaardige website”) en kwam pas half juni.
Op 7 juli, schreef hij, een “regressie in de fix” deden het niet meer, en hoewel Zoom uitgegeven op een andere patch op zondag, was hij in staat om een oplossing.
Om het probleem te verhelpen, Leitschuh adviseert Mac-gebruikers die de app hebben geïnstalleerd om te updaten naar de laatste versie en klik op de knop instellingen “Zet mijn video bij het deelnemen aan een vergadering,” zoals hierboven te zien is. Hij verstrekte ook een set van Terminal commando ‘ s die u kunt uitschakelen van het lokale web server en het voorkomen van het opnieuw installeren van zichzelf, die kan worden gezien in zijn Medium post.
“In mijn mening, op websites moeten niet praten Desktop toepassingen zoals deze,” Leitschuh gewaarschuwd. “Er is een fundamentele sandbox die browsers worden verondersteld af te dwingen, om te voorkomen dat kwaadaardige code wordt uitgevoerd op gebruikers van computers… Met elke Zoom-gebruiker heeft een web-server accepteert HTTP GET-aanvragen die leiden tot code buiten de sandbox in de browser is het schilderen van een groot doel op de achterkant van de Zoom.”
“Vanaf 2015 Zoom had meer dan 40 miljoen gebruikers,” Leitschuh gesloten. “Gezien het feit dat Macs zijn 10% van de PC-markt en de Zoom heeft een aanzienlijke groei vanaf 2015 kunnen we ervan uitgaan dat minstens 4 miljoen Zoom-gebruikers op de Mac… Alle van de kwetsbaarheden die in dit verslag beschreven kan worden uitgebuit via ‘drive-by aanval’ methodieken… ik geloof dat het in orde is om volledig te beschermen gebruikers, ik geloof echt dat dit localhost web server oplossing moet worden verwijderd.”
Zoom is verdubbeld naar beneden op de uitvoering van de click-to-join-functie, per ZDnet, maar het zei dat het zou uitgeven van aanvullende updates.
In een verklaring op de site, Zoom schreef dat het een “oplossing” om de veranderingen in Safari 12 en dat het uitvoeren van de lokale web server als een achtergrond proces is een “legitieme oplossing voor een slechte gebruikerservaring waardoor onze gebruikers een naadloze, één-klik-om-te-deelnemen aan vergaderingen, dat is onze belangrijkste differentiator.” Volgens ZDNet, Zoom ook zei dat het zou redden gebruikers van de beslissing over het al dan niet uitschakelen van video in hun eerste gesprek en de toepassing van die instelling aan de toekomstige bijeenkomsten.
[ZDnet/De Vooravond]
Deel Dit Verhaal