Foto: Alex Cranz (Gizmodo)
Lunedì, il ricercatore di sicurezza Jonathan Leitschuh pubblicamente una grave vulnerabilità zero-day in software per conferenze Zoom—che a quanto pare raggiunge il suo fare clic su-per-la funzione di join, che consente agli utenti di accedere direttamente a una riunione video da un browser link, su Mac computer con l’installazione di un server web locale in esecuzione come processo in background che “accetta le richieste normali browser non” per l’Orlo. Come risultato, Zoom potrebbe essere dirottato da qualsiasi sito web per forzare un utente Mac per unirsi a una chiamata senza il loro permesso, e con la webcam attiva, a meno che una specifica impostazione è stata attivata.
Peggio, Leitschuh ha scritto che il server web locale persiste anche se lo Zoom è disinstallato ed è in grado di reinstallare l’app sul proprio, e che quando ha contattato l’azienda che ha fatto poco per risolvere i problemi.
In un Medio post lunedì, Leitschuh fornito una demo in forma di un link che, se cliccato, prese gli utenti Mac che hanno installato l’applicazione di una sala conferenze con le loro videocamere attivato (e qui, se si deve provare voi stessi). Leitschuh notato che il codice per fare questo può essere integrato in qualsiasi sito web così come in annunci dannosi, o potrebbe essere utilizzato come parte di una campagna di phishing.” Inoltre, Leitschuh ha scritto che, anche se gli utenti di disinstallare Zoom, insicuro server web locale persiste e “sarà lieto di re-installare lo Zoom client, senza richiedere alcuna interazione con l’utente sul tuo conto, oltre a visitare una pagina web.”
Questa implementazione lascia aperti altri nefasti modi per abuso server web locale, per Punto:
Accendere la fotocamera è abbastanza cattivo, ma l’esistenza di un web server sul proprio computer potrebbe aprire più significativi problemi per gli utenti Mac. Per esempio, in una versione precedente di Zoom (dal patchato), è stato possibile mettere in atto un attacco denial of service su Mac costantemente il ping del server web: “Con il semplice invio di ripetute richieste per un numero di cattivo, Zoom app sono in costante aumento la richiesta “focus” dal sistema operativo,” Leitschuh scrive.
Secondo Leitschuh, ha contattato Zoom su Marzo 26, dicendo che sarebbe divulgare l’exploit in 90 giorni. Zoom ha fatto emettere un “quick fix” patch che solo disabili “un incontro creatore capacità di attivare automaticamente un partecipanti video di default”, ha aggiunto, anche se questo era lontano da una soluzione completa (e non ha fatto nulla per negare la possibilità per un utente malintenzionato di forza aderire ad un invito a chiunque visiti un sito dannoso”) e venuto solo a metà giugno.
Il 7 luglio, ha scritto, una “regressione nel fissare” il fatto non funzionano più, e anche se lo Zoom ha rilasciato un’altra patch di domenica, fu in grado di creare una soluzione alternativa.
Per risolvere il problema, Leitschuh consiglia gli utenti Mac che hanno installato l’applicazione per aggiornare alla versione più recente e quindi fare clic su un pulsante impostazioni per “spegnere il mio video quando si entra in un incontro,” come si è visto sopra. Ha anche fornito una serie di comandi da Terminale, che consente di disattivare il server web locale e prevenire la reinstallazione di per sé, che può essere visto nel suo Mezzo posta.
“A mio parere, i siti web non devono parlare di applicazioni Desktop come questo,” Leitschuh avvertito. “C’è una fondamentale sandbox che i browser dovrebbero applicare per evitare che il codice dannoso in esecuzione su macchine… di Avere ogni Zoom utente dispone di un web server che accetta le richieste HTTP GET che il codice del trigger al di fuori della sandbox del browser è dipinto un enorme bersaglio sulla schiena di Zoom.”
“Nel 2015 Zoom avuto oltre 40 milioni di utenti,” Leitschuh concluso. “Dato che i Mac sono il 10% del mercato dei PC e Zoom ha avuto una significativa crescita dal 2015, si può supporre che almeno 4 milioni di Zoom utenti sono su Mac… Tutte le vulnerabilità descritte in questa relazione può essere sfruttata tramite ‘attacco drive-by’ metodologie… io credo che per proteggere gli utenti, credo davvero che questo localhost soluzione server web deve essere rimosso.”
Zoom ha raddoppiato giù sulla sua attuazione del click-per-la funzione di join, per ZDnet, anche se ha detto che rilascerà ulteriori aggiornamenti.
In una dichiarazione al sito, Zoom scrisse che era un “workaround” per le modifiche in Safari 12 e che esegue il server web locale come processo in background è un “legittimo soluzione a una scarsa esperienza utente, consentendo agli utenti di avere senza soluzione di continuità, one-click-per-partecipare alle riunioni, che è il nostro prodotto chiave di differenziazione.” Secondo ZDNet, Zoom ha anche detto che avrebbe salvare degli utenti decisione di spegnere il video nella loro prima convocazione e per applicare l’impostazione di incontri futuri.
[ZDnet/Punto]
Condividi Questa Storia