Будь -який Mac із програмою телеконференцій Zoom можна зараз підглядати. Так, це поганий день для безпеки Apple, оскільки шкідливі веб -сайти можуть бути кодовані для віддаленого початку відеоконференції на вашому Mac - і атаку можна навіть надіслати електронною поштою.
Ця новина, оприлюднена дослідником безпеки Джонатаном Лейтшухом, показує, що навіть комп’ютери Mac, на яких більше не встановлено Zoom, але колись були, є вразливими. Хорошою новиною є те, що є рішення (хоча одне серйозно важке), і, здається, Zoom незабаром все виправить.
Що ж тепер робити
Виправлення, завдяки тому, що Zoom змінив свою позицію, виглядає таким самим простим, як прийняття оновлень Zoom по мірі їх надходження. В оновленні великої публікації Zoom у блозі про недолік компанія заявила, що виправлення, яке вийде сьогодні ввечері (9 липня) о 3 годині ранку за стандартним стандартним часом або опівночі, вирішить проблеми. Користувачам буде запропоновано оновити додаток, а після завершення оновлення "локальний веб -сервер буде повністю видалений на цьому пристрої".
Оновлення також нібито покращить процедуру видалення. У дописі Zoom зазначено: "Ми додаємо новий рядок до рядка меню Zoom, який дозволить користувачам вручну та повністю видалити клієнт Zoom, включаючи локальний веб -сервер".
Ми з нетерпінням чекаємо, чи Джонатан Лейтшух та інші дослідники безпеки вважають, що Zoom виконує ґрунтовну та належну роботу.
Щоб захистити свій Mac, відкрийте Налаштування для масштабування - натисніть Зум у рядку меню, потім натисніть Налаштування - і відкрийте розділ Відео. Потім поставте прапорець "Вимкнути моє відео під час приєднання до наради".
У своїй публікації Лейчух також поділився кодом для використання в Терміналі. Ці інструкції дещо ускладнюються і найкраще підходять для супертехнологічних підкованих користувачів, які воліли б це. Ці поради зроблені, щоб викорінити веб -сервер, який Zoom створює на Mac.
Як це працює
Так, це все можливо, тому що Zoom таємно встановлює веб -сервер на комп’ютерах Mac, який приймає та приймає запити, які ваші веб -браузери не могли б. Лейтшух пояснив, що він намагався співпрацювати з Zoom, звернувшись до компанії в березні минулого року, але "його рішень недостатньо, щоб повністю захистити своїх користувачів".
Крім того, як я вже згадував раніше, навіть ті користувачі, які видалили Zoom зі своїх Mac, є вразливими. Лейтшух пояснює, що веб -сервер, встановлений Zoom, залишається позаду навіть після того, як ви видалите програму, і що сервер може бути віддалено запущений для оновлення та автоматичної інсталяції останньої версії Zoom.
О, і жертву навіть не потрібно обманювати відкриттям веб -сторінки. По -перше, користувач Vimeo "fun jon" опублікував відеодоказ того, що ви можете атакувати цей недолік електронною поштою, і цілі навіть не потрібно відкривати повідомлення. Їм просто потрібно використовувати додаток поштового клієнта, яке завантажує зловмисно закодоване повідомлення.
Після того, як Лейтшух сперечався із Zoom, стверджуючи, що сказав компанії, що "дозволити хосту вибирати, чи буде учасник автоматично приєднуватися до відео", є "окремою вразливістю безпеки", компанія не погодилася, позиціонуючи своє рішення як користь користувача: "Zoom вірить у те, що дає нашим клієнтам можливість вибирати спосіб масштабування ».
Хочете побачити це на власні очі?
Якщо ви коли -небудь мали Zoom на своїй машині, ви можете переконатися в цьому самі.
Знайдіть у блозі Лейтшуха фразу "zoom_vulnerability_poc/" - оскільки це посилання на його доказ концепції, який запускає дзвінок Zoom. Перший-це лише аудіоверсія; друге посилання, яке містить "iframe" у URL -адресі, розпочинає виклик із активним відео.
Ця вразливість Zoom - це банани. Я спробував один із доказів концептуальних посилань і з’єднався з трьома іншими рандо, які теж страшенно обговорювали це в режимі реального часу. https://t.co/w7JKHk8nZypic.twitter.com/arOE6DbQaf - Метт Хогей (@mathowie) 9 2022-2023 липня
Ця стаття спочатку була опублікована в Путівнику Тома.
- Бета -огляд macOS Catalina
- Я використовував мишу з iPadOS, і ось як це працює
- Огляд бета -версії iPadOS