Технологии
Дамир Камалетдинов

В сервисе для видеозвонков Zoom нашли уязвимость, которая позволяет удалённо включать веб-камеры на макбуках

В теории такая уязвимость может появиться на любом сайте — достаточно строчки вредоносного кода.

Конференц-звонок в Zoom  Скриншот Джонатана Лейтшуха

Исследователь по кибербезопасности Джонатан Лейтшух (Jonathan Leitschuh) рассказал об уязвимости в популярном сервисе видеозвонков Zoom. Из-за особенностей работы приложения злоумышленники могут удалённо активировать веб-камеры пользователей macOS без их разрешения.

Как пояснил Лейтшух, причиной проблемы стала возможность присоединяться к звонкам при переходе по ссылкам вида «https://zoom.us/j/492468757». Для этого на макбуках Zoom вместе с приложением устанавливает собственный локальный веб-сервер, который может взаимодействовать с сайтами при интернет-сёрфинге.

Таким образом сервис обходит ограничения всех популярных браузеров, которые не позволяют сайтам обмениваться данными с сервером localhost. Если бы Zoom не использовал такую схему, то при нажатии на ссылку пользователя бы постоянно спрашивали, хочет ли он запустить приложение.

Используя GET-запрос к серверу, Лейтшух смог подключиться к звонку, созданному другой учётной записью. Таким образом он смог подключиться к любым звонкам без разрешения, если у создавших их пользователей установлены стандартные настройки.

Однако исследователь на этом не остановился и научился удалённо активировать веб-камеры пользователей. Так как локальный сервер Zoom работает в фоновом режиме, злоумышленникам даже не нужно, чтобы было запущено приложение. Как утверждает Лейтшух, достаточно встроить короткий код из одной строки в embed-содержимое сайта или в рекламный баннер.

В качестве доказательства исследователь реализовал уязвимость, встроив вредоносный код в свой сайт. Любой желающий может проверить её работу, перейдя на специальную страницу. Код работает автоматически для пользователей с установленным клиентом Zoom и подключает их к звонку с веб-камерой без разрешения. При отсутствии программы там отображается диалоговое окно с просьбой дать необходимые разрешения, после выдачи которых конференц-колл не запускается

В процессе изучения работы локального сервера Zoom Лейтшух также заметил, что тот способен не только запускать звонки. В случае, если пользователь удалил приложение с компьютера, сервер продолжает работать и позволяет незаметно установить программу обратно лишь при посещении сайта с вредоносным кодом без каких-либо дополнительных подтверждений

Исследователь пояснил, что сообщил об уязвимости Zoom в марте 2019 года, а также предложил несколько вариантов её решения, включая «быстрые исправления», изменяющие логику сервера. Он дал компании 90 дней, однако она ответила только спустя два месяца и внесла лишь небольшие изменения в код.

Как отметил исследователь, остались возможности добавить пользователя в звонок без его разрешения и переустановить приложение без ведома пользователя. По словам Лейтшуха, в Zoom также отказались по умолчанию отключать звук и веб-камеру при подключении к звонкам. В компании отметили, что пользователи заслуживают права сами выбирать, как пользоваться приложением.

При этом пользователи могут сами исправить проблему с удалённым включением веб-камеры. Для этого достаточно поставить галочку у пункта «Выключать моё видео при присоединении к беседе».

Как решить проблему с удалённым включением камеры в Zoom Скриншот Джонатана Лейтшуха

В Zoom рассказали журналистам The Verge и других изданий, что используют веб-сервер, чтобы сэкономить клики пользователям. В компании выступили в защиту своего подхода и назвали присоединение к звонкам «в один клик» своей «отличительной чертой».

В заявлении на сайте Zoom говорится, что начиная с одного из следующих обновлений при первом звонке сервис будет спрашивать пользователей о настройках видео и аудио для будущих разговоров. Представители сервиса пояснили, что клиент Zoom всегда запускается на видном месте и пользователь в любой момент может выйти из разговора. В компании также отметили, что не нашли признаков эксплуатации уязвимости.

В апреле 2019 года Zoom вышел на IPO. Стартап является одним из немногих прибыльных и успешных «единорогов» — компаний, чья оценка превышает миллиард долларов.

#приватность #уязвимости #сервисы #новости