В сервисе для видеозвонков Zoom нашли уязвимость, которая позволяет удалённо включать веб-камеры на макбуках Статьи редакции

В теории такая уязвимость может появиться на любом сайте — достаточно строчки вредоносного кода.

Конференц-звонок в Zoom  Скриншот Джонатана Лейтшуха

Исследователь по кибербезопасности Джонатан Лейтшух (Jonathan Leitschuh) рассказал об уязвимости в популярном сервисе видеозвонков Zoom. Из-за особенностей работы приложения злоумышленники могут удалённо активировать веб-камеры пользователей macOS без их разрешения.

Как пояснил Лейтшух, причиной проблемы стала возможность присоединяться к звонкам при переходе по ссылкам вида «https://zoom.us/j/492468757». Для этого на макбуках Zoom вместе с приложением устанавливает собственный локальный веб-сервер, который может взаимодействовать с сайтами при интернет-сёрфинге.

Таким образом сервис обходит ограничения всех популярных браузеров, которые не позволяют сайтам обмениваться данными с сервером localhost. Если бы Zoom не использовал такую схему, то при нажатии на ссылку пользователя бы постоянно спрашивали, хочет ли он запустить приложение.

Используя GET-запрос к серверу, Лейтшух смог подключиться к звонку, созданному другой учётной записью. Таким образом он смог подключиться к любым звонкам без разрешения, если у создавших их пользователей установлены стандартные настройки.

Однако исследователь на этом не остановился и научился удалённо активировать веб-камеры пользователей. Так как локальный сервер Zoom работает в фоновом режиме, злоумышленникам даже не нужно, чтобы было запущено приложение. Как утверждает Лейтшух, достаточно встроить короткий код из одной строки в embed-содержимое сайта или в рекламный баннер.

В качестве доказательства исследователь реализовал уязвимость, встроив вредоносный код в свой сайт. Любой желающий может проверить её работу, перейдя на специальную страницу. Код работает автоматически для пользователей с установленным клиентом Zoom и подключает их к звонку с веб-камерой без разрешения. При отсутствии программы там отображается диалоговое окно с просьбой дать необходимые разрешения, после выдачи которых конференц-колл не запускается

В процессе изучения работы локального сервера Zoom Лейтшух также заметил, что тот способен не только запускать звонки. В случае, если пользователь удалил приложение с компьютера, сервер продолжает работать и позволяет незаметно установить программу обратно лишь при посещении сайта с вредоносным кодом без каких-либо дополнительных подтверждений

Исследователь пояснил, что сообщил об уязвимости Zoom в марте 2019 года, а также предложил несколько вариантов её решения, включая «быстрые исправления», изменяющие логику сервера. Он дал компании 90 дней, однако она ответила только спустя два месяца и внесла лишь небольшие изменения в код.

Как отметил исследователь, остались возможности добавить пользователя в звонок без его разрешения и переустановить приложение без ведома пользователя. По словам Лейтшуха, в Zoom также отказались по умолчанию отключать звук и веб-камеру при подключении к звонкам. В компании отметили, что пользователи заслуживают права сами выбирать, как пользоваться приложением.

При этом пользователи могут сами исправить проблему с удалённым включением веб-камеры. Для этого достаточно поставить галочку у пункта «Выключать моё видео при присоединении к беседе».

Как решить проблему с удалённым включением камеры в Zoom Скриншот Джонатана Лейтшуха

В Zoom рассказали журналистам The Verge и других изданий, что используют веб-сервер, чтобы сэкономить клики пользователям. В компании выступили в защиту своего подхода и назвали присоединение к звонкам «в один клик» своей «отличительной чертой».

В заявлении на сайте Zoom говорится, что начиная с одного из следующих обновлений при первом звонке сервис будет спрашивать пользователей о настройках видео и аудио для будущих разговоров. Представители сервиса пояснили, что клиент Zoom всегда запускается на видном месте и пользователь в любой момент может выйти из разговора. В компании также отметили, что не нашли признаков эксплуатации уязвимости.

В апреле 2019 года Zoom вышел на IPO. Стартап является одним из немногих прибыльных и успешных «единорогов» — компаний, чья оценка превышает миллиард долларов.

{ "author_name": "Дамир Камалетдинов", "author_type": "editor", "tags": ["\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438","\u0441\u0435\u0440\u0432\u0438\u0441\u044b","\u043f\u0440\u0438\u0432\u0430\u0442\u043d\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 24, "likes": 41, "favorites": 8, "is_advertisement": false, "subsite_label": "tech", "id": 105599, "is_wide": false, "is_ugc": false, "date": "Tue, 09 Jul 2019 20:24:06 +0300", "is_special": false }
0
24 комментария
Популярные
По порядку
Написать комментарий...

Невидимый теркин30см

15

Мне кажется, что эта часть просто великолепна:
I also found that, instead of making a regular AJAX request, this page instead loads an image from the Zoom web server that is locally running. The different dimensions of the image dictate the error/status code of the server. You can see that case-switch logic here.

Ответить
0

Это же чтобы на CORS не попадать

Ответить

Невидимый теркин30см

Maxim
0

Да, я знаю, для чего это. На мой взгляд, стартап с таким подходом должен скоропостижно умереть.

Ответить
10

Вчерашние новости - завтра. Девиз ТЖ.

Ответить
0

Сегодняшняя

Ответить
5

Сегодняшнюю ждём завтра 😏😉

Ответить
0
Heads up @zoom_us:
The fix for the security vulnerability that impacts ~4 million of your users has regressed.
90-day public disclosure deadline was June 24th.
I'm going public tomorrow.
This is unacceptable.
Ответить
0

Это он только анонсировал раскрытие уязвимости

Ответить
2

да, и 23 часа назад раскрыл.

Ответить
5

Круто, мы же все следим за его твиттером

Ответить

Невидимый

Никита
0

Там ссылка на медиум.

Ответить
9

в популярном сервисе видеозвонков

🤔🤔🤔

Ответить
4

Когда не хочешь платить за вирт, а смотреть хочется)

Ответить

Импортный танк88

2

Комментарий удален по просьбе пользователя

Ответить

Музыкальный Петя

2

Если бы Zoom не использовал такую схему, то при нажатии на ссылку пользователя бы постоянно спрашивали, хочет ли он запустить приложение.

На мак не завезли xdg-open? Серьезно?

Ответить
0

Серьёзно. Страдаем.

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

И что, даже зелёная лампочка не загоралась, информируя о том, что с камеры идёт сигнал?

Ответить
3

Вроде как на маках это невозможно обойти и лампочка будет гореть

Ответить
3

Значит все збс, эппл красавы

Ответить
2

Да, ведь один же из аспектов уязвимостей: можно смотреть чужие видео-чаты.

Ответить
0

Лейтшух?...

Ответить
0

Лейтшух?...

Лёгкий шухер...

Ответить

Больной корабль

0

все давно знают как бороться с уязвимости вебкамер

Ответить
Обсуждаемое
Новости
В российских школах заблокируют доступ к «негативной информации» по Wi-Fi
Что относится к запрещённому контенту, не уточнили.
Интернет
Ролик BadComedian о фильме «Непосредственно, Каха» временно заблокировали на ютубе из-за авторских прав
Обычно этот пользователь жалуется на контент, связанный с Первым каналом.
Telegram
Популярное за три дня
Новости
Фото: Заснеженные города-призраки возле Воркуты
Предприятия в шахтёрском городе закрывают, поселения забрасывают, а квартиры оставляют.
Новости
На Навального подали в суд владельцы бюро переводов
Они попросили взыскать с политика 10 миллионов рублей за причинение морального вреда: по их словам, Навальный препятствует работе бюро и Владимира Путина. Об этом сообщили Открытые Медиа.
Новости
Жители города в США два года получали 500 долларов в месяц. Эксперимент по гарантированному доходу признали успешным
Многие участники нашли работу и стали реже сталкиваться с депрессией.

Комментарии

null