Foto: Alex Cranz ( (Gizmodo)
Nachdem zunächst der Verteidigung Ihrer Entscheidung zu installieren unsicher lokalen Webserver auf Mac-Computern, die ein erhebliches Sicherheitsrisiko und könnten übernommen werden, indem Angreifer, Tele-app Zoom hat zurück gerudert und hat gesagt, es wird schnell entfernen Sie die “Funktion.”
News des Exploits erste kam per Sicherheitsexperte Jonathan Leitschuh, wer veröffentlicht eine detaillierte Medium post, die zeigen, wie Zoom ‘ s unsichere Implementierung einer Funktion namens “click-to-join”, welches einfache video-Sitzungen, die verwendet werden könnte, um die Verbindung Mac-Benutzer, um einen chat-Raum und aktivieren Ihre webcams ohne Ihr wissen durch das einbetten von code in eine website. (Der lokale server auch beibehalten nach der deinstallation der Zoom-Mac-client und würde “gerne wieder-installieren Sie den Zoom-client ohne Benutzerinteraktion auf Ihren Namen neben dem Besuch einer Webseite,” Leitschuh Hinzugefügt—das bedeutet, jeder, der jemals installiert Vergrößern potenziell ausgesetzt werden, um die gleiche Gefahr.) Leitschuh treffend fasste seine Ergebnisse in form einer website, wenn Zugriff über einen Mac hatte, Zoom derzeit oder früher installiert ist, würde sofort eine video-chat-Raum sowie aktivieren der Benutzer ” webcam es sei denn, Sie hatten eine bestimmte Einstellung ein-und ausgeschaltet.
Leitschuh schrieb, dass Zoom hatte, missachteten seine Warnungen für Monate und nur umgesetzt, eine teilweise Korrektur in der letzten minute, während die Firma sagte ZDnet am Montag wurde die Technik eine “legitime Lösung zu einer schlechten user experience” – in aufgrund von änderungen in Safari 12 (nämlich, ein Datenschutz-feature, dass Benutzer gezwungen, um zu überprüfen, Sie wollte eigentlich starten, Zoom).
Aber in einem Beitrag am Dienstag, die Firma kassiert und sagte, es hat bereits einen patch entfernen der Webserver von Mac-Maschinen. Pro Wired, nachdem security-Experten hob den alarm um Leitschuh Ergebnisse, Zoom-CEO Eric Yuan persönlich in einen der chat-Räume die Forscher eingerichtet, um die änderung anzukündigen:
“Ich überlege ernsthaft, dass die Blockierung der Ports für das web-server,” Mac-Forscher Thomas Reed sagte WIRED am Dienstag vor Zoom angekündigt, das zu ändern. David Wells, eine Forscherin, die hat ausgewertet, Zoom-Sicherheit vor, genannt Leitschuh Erkenntnisse “geradezu gruselig.”
Am Dienstag Nachmittag, CEO des Unternehmens, Eric Yuan sagte Leitschuh und andere Forscher, die Zoom entfernen würde, die lokalen web-server-Funktionalität, die verwendet wurde, um bypass-Schutz in Safari und erleichtern instant meeting verbindet. Yuan teilte die Nachricht in einer der Zoom-Sitzungen Leitschuh geschaffen hatte, als eine schädliche proof-of-concept.
Zoom, sagte es ist auch eine Bewegung nach vorne mit einem angekündigten Update, das geben Benutzern mehr Kontrolle über die Standard-video-Einstellungen, wenn Sie an einer call.
In einem interview mit the Verge, Zoom chief information security officer Richard Farley erklärte, dass das Unternehmen war, geht das verschieben von “feedback” von denen “nach dieser und einen Beitrag zu der Diskussion.” Farley sagte kurz Davor, “Unsere Ausgangsposition war, dass die Installation dieser [web-server] – Prozess, um Benutzern zu ermöglichen, in die Besprechung, ohne dass man diese extra-Klicks—wir glauben, dass das die richtige Entscheidung war. Und es wurde [zu] dem Wunsch einiger unserer Kunden.”
“Aber auch wir erkennen und respektieren die Sicht von anderen, die sagen, Sie wollen nicht, wird ein extra Prozess installiert auf Ihrem lokalen Rechner,” Farley Hinzugefügt. “Deshalb haben wir die Entscheidung getroffen, entfernen Sie die Komponente—trotz der Tatsache, dass es erfordert einen zusätzlichen Klick von Safari.”
“Auf der einen Seite dauerte es über 100 Tage Sie tatsächlich ernst nehmen und es öffentlichen aufschrei,” Leitschuh sagte Wired. “Auf der anderen Seite ist es eine wirklich gute Sache, um zu sehen, dass ein Unternehmen kann sich entschuldigen für Ihre Fehler und bereit sein, zu arbeiten, mit der Gemeinschaft und Forscher. Es ist nun an uns allen, Sie dafür zur Rechenschaft ziehen.”
Teilen Sie Diese Geschichte