Zoom выпустила экстренный патч, чтобы закрыть уязвимость с веб-камерами на macOS. Она позволяла включать их удалённо

Компания не считала проблему серьёзной, но передумала.

Сервис для видеозвонков Zoom выпустил экстренный патч, чтобы закрыть уязвимость, позволяющую удалённо включать веб-камеры на macOS. Обновление удалит с компьютеров пользователей локальные сервера, ставшие причиной проблемы. Об этом говорится в дополненном заявлении на сайте Zoom.

Сначала Zoom защищала свою позицию и не собиралась вносить изменения в программу, но передумала, когда публикация об уязвимости от исследователя Джонатана Лейтшуха разошлась в СМИ.

В материале Лейтшуха говорилось, что Zoom вместе с приложением устанавливает на macOS локальный веб-сервер, который взаимодействует с сайтами. Таким образом сервис обходит ограничения браузеров и запускает звонки по клику на специальную ссылку, но это также позволяет злоумышленникам подключать пользователей к звонкам без спроса.

В компании настаивали, что сервер был безопасным, а пользователи всегда могли заметить, если их подключили к звонку. В Zoom объясняли использование сервера экономией кликов, однако он также позволял переустановить приложение после удаления без дополнительного подтверждения.

Как отметил Лейтшух, после его публикации к обсуждению проблемы подключился гендиректор Zoom Эрик Юань (Eric Yuan). Он лично проверил эксплуатацию уязвимости и принёс извинения за реакцию компании.

В Твиттере заметили, что Zoom оказался не единственным, кто использовал веб-сервера на macOS. Среди других популярных сервисов похожую схему применяют Spotify, Keybase, iTunes, KBFS Numi и не только.

#приватность #уязвимости #новости