Photo: Alex Cranz ( (Gizmodo)
Après avoir d’abord la défense de leur décision d’installer l’insécurité serveur web local sur Mac les utilisateurs de machines’, ce qui pose un risque de sécurité majeur et pourrait être détourné par les pirates, à la téléconférence application de Zoom a fait marche arrière et a dit qu’il va supprimer rapidement la “fonctionnalité”.
La nouvelle de l’exploit de la première venue par le chercheur en sécurité Jonathan Leitschuh, qui a publié une détaillé Moyen post montrant comment le Zoom de l’insécurité de la mise en œuvre d’une fonctionnalité appelée “clic ” rejoindre”, qui facilite les rencontres vidéo, peuvent être utilisés pour connecter les utilisateurs de Mac à un salon de discussion et d’activer leurs webcams à leur insu par incorporation d’une partie du code d’un site web. (Le serveur local a également persisté après la désinstallation du Zoom client Mac et serait “heureux de re-installer le Zoom client pour vous, sans aucune interaction de l’utilisateur sur votre compte en plus de la visite d’une page web,” Leitschuh ajouté—ce qui signifie n’importe qui qui a jamais installé de Zoom pourraient être exposés au même risque.) Leitschuh avec justesse résume ses constatations sous la forme d’un site web qui, lors de l’accès à l’aide d’un Mac qui a eu Zoom actuellement ou précédemment installé, serait immédiatement ouvrir un salon de chat vidéo ainsi que d’activer les utilisateurs de webcam à moins d’avoir un réglage précis basculé.
Leitschuh écrit que Zoom a omis de tenir compte de ses avertissements pendant des mois et seulement mise en œuvre d’une correction partielle à la dernière minute, alors que la société dit ZDnet, lundi, la technique était une “solution légitime à une mauvaise expérience utilisateur” en raison de changements dans Safari 12 (à savoir, une protection de la vie privée fonctionnalité qui contraint les utilisateurs à vérifier en fait, ils voulaient lancer de Zoom).
Mais dans un post, mardi, la société a reconnu et a dit, elle a lancé un patch de retirer le web, les serveurs de machines Mac. Par Câblée, d’après les experts en sécurité la sonnette d’alarme autour de Leitschuh conclusions, Zoom PDG Eric Yuan personnellement entré dans l’une des salles de chat le chercheur mis en place pour annoncer le changement:
“Je suis sérieusement envisagé de bloquer le port utilisé pour le serveur web,” Mac chercheur Thomas Reed a dit FILAIRE, mardi, avant de Zoom a annoncé le changement. David Wells, un chercheur qui a évalué le Zoom de sécurité avant, appelé Leitschuh conclusions du “carrément effrayant.”
Mardi après-midi, PDG de la société Eric Yuan a dit Leitschuh et d’autres chercheurs Zoom permettrait de supprimer le serveur web local fonctionnalité c’est à l’aide de contourner des protections de Safari et de faciliter la réunion instantanée des jointures. Yuan partagé la news du Zoom réunions Leitschuh avais créé un malveillant preuve de concept.
Zoom dit, il est également aller de l’avant avec un précédemment annoncé correctif qui permettra d’offrir aux utilisateurs plus de contrôle sur vidéo par défaut des paramètres lors de l’adhésion d’un appel.
Dans une interview au Point, le Zoom, chief information security officer Richard Farley a expliqué que la compagnie était en fondant le mouvement de “feed-back” de ceux “à la suite de ce et de contribuer à la discussion.” Farley dit le Point, “a l’origine, Notre position est que l’installation de ce [serveur web] processus afin de permettre aux utilisateurs de se joindre à la réunion sans avoir à faire ces clics supplémentaires—nous croire que c’était la bonne décision. Et il était [à] la demande de certains de nos clients.”
“Mais nous avons aussi reconnaître et respecter le point de vue d’autres personnes qui disent qu’ils ne veulent pas avoir un supplément de processus d’installé sur leur ordinateur local,” Farley ajouté. “C’est pourquoi nous avons pris la décision de supprimer la composante—malgré le fait que cela va vous demander un supplément cliquez sur à partir de Safari.”
“D’une part, il a fallu plus de 100 jours pour eux de prendre cette question au sérieux et il a fallu un tollé général,” Leitschuh dit Filaire. “De l’autre côté c’est vraiment une bonne chose de voir qu’une entreprise peut présenter des excuses pour ses erreurs et être prêts à travailler avec la communauté et les chercheurs. C’est maintenant à nous tous de les tenir pour responsables.”
Partager Cette Histoire