7月9日消息,據(jù)外媒報(bào)道,如果你是數(shù)百萬(wàn)Zoom視頻會(huì)議用戶中的一員,并且在Mac上安裝了這款應(yīng)用程序,那么網(wǎng)系統(tǒng)會(huì)建議你檢查設(shè)置,以確保默認(rèn)情況下禁用攝像頭。在設(shè)置視頻部分,你可以找到“加入會(huì)議時(shí)關(guān)閉視頻”的勾選框。
這是因?yàn),研究人員喬納森·萊特舒赫(Jonathan Leitschuh)按照“零日方法”規(guī)則披露了Zoom應(yīng)用的一個(gè)嚴(yán)重安全漏洞,同時(shí)建議用戶確保在公司發(fā)布補(bǔ)丁時(shí)更新他們的應(yīng)用程序。
該漏洞利用Zoom中的架構(gòu)漏洞進(jìn)行攻擊。在該漏洞中,為改善用戶體驗(yàn)而安裝的Web服務(wù)器會(huì)使系統(tǒng)面臨惡意攻擊,網(wǎng)絡(luò)攝像頭可以激活。本質(zhì)上,通過強(qiáng)制邀請(qǐng)用戶參加Zoom呼叫,以發(fā)起拒絕服務(wù)攻擊(因?yàn)榇蛄搜a(bǔ)丁),并且可以重新激活卸載的應(yīng)用程序,所有這些都不需要用戶許可。
Zoom解釋說(shuō),這樣做是為了改善零散的用戶體驗(yàn),是對(duì)Safari 12進(jìn)行升級(jí)的變通辦法,這是“一個(gè)針對(duì)糟糕用戶體驗(yàn)的合法解決方案,使我們的用戶能夠無(wú)縫地一鍵加入會(huì)議,這是我們的關(guān)鍵產(chǎn)品差異化。”
然而,萊特舒赫在他的披露中說(shuō):“首先,在我的本地機(jī)器上安裝運(yùn)行Web服務(wù)器的Zoom應(yīng)用程序,使用完全沒有文檔記錄的API,對(duì)我來(lái)說(shuō)感覺非常粗略。其次,我訪問的任何網(wǎng)站都可以與運(yùn)行在我機(jī)器上的這個(gè)Web服務(wù)器進(jìn)行交互,這對(duì)對(duì)于作為安全研究員的我來(lái)說(shuō),是一個(gè)巨大的危險(xiǎn)信號(hào)。”
萊特舒赫指責(zé)Zoom通過使用本地服務(wù)器“在背后制定了巨大的目標(biāo)”,通過一個(gè)架構(gòu)糟糕的技術(shù)解決方案讓數(shù)百萬(wàn)用戶陷入遭到網(wǎng)絡(luò)攻擊的危險(xiǎn)中,這種解決方案以改善用戶體驗(yàn)為借口基本上繞過了用戶瀏覽器的安全保護(hù)措施,而這些保障措施顯然是有充分理由的。
萊特舒赫在3月份向Zoom披露了這個(gè)問題,他說(shuō):“利用令人驚訝的、功能簡(jiǎn)單的Zoom漏洞,你只需向任何人發(fā)送會(huì)議鏈接(例如https://zoom.us/j/492468757),當(dāng)他們?cè)跒g覽器中打開該鏈接時(shí),他們的Zoom客戶端在他們的本地機(jī)器上就能神奇地打開,這讓用戶很容易陷入攻擊危險(xiǎn)之中。”
在披露中,萊特舒赫表示,Zoom推遲了對(duì)漏洞的處理,直到90天未披露“寬限期”結(jié)束前18天才開始討論他的發(fā)現(xiàn)。然后,在6月24日,“經(jīng)過90天的等待,也就是公開披露截止日期前的最后一天”,Zoom只是簡(jiǎn)單地部署了他三個(gè)月前向該公司提出的“快速解決方案”。
萊特舒赫說(shuō):“最終,Zoom未能快速確認(rèn)報(bào)告的漏洞確實(shí)存在,他們也未能及時(shí)將問題的解決方案交付給客戶。擁有如此龐大的用戶群的組織,本應(yīng)更積極主動(dòng)地保護(hù)其用戶免受攻擊。”
精通技術(shù)的用戶可以找到并刪除應(yīng)用程序,但對(duì)于我們其余的人,應(yīng)該改變視頻設(shè)置并保持應(yīng)用程序更新。目前還沒有跡象表明Zoom會(huì)進(jìn)行重大技術(shù)上的改變,以解決這個(gè)架構(gòu)上的弱點(diǎn),所以改變視頻設(shè)置并保持它的改變,似乎是避免遭到攻擊的最佳方式。
在一份聲明中,Zoom確認(rèn)了這個(gè)問題,并承認(rèn)“如果攻擊者能夠誘使目標(biāo)用戶點(diǎn)擊指向攻擊者Zoom會(huì)議的Web鏈接,無(wú)論是在電子郵件消息中還是在網(wǎng)絡(luò)服務(wù)器上,目標(biāo)用戶都可能在不知情的情況下加入攻擊者的Zoom會(huì)議。”
Zoom補(bǔ)充說(shuō),其7月份的更新“將應(yīng)用并保存用戶從第一次Zoom會(huì)議到未來(lái)所有Zoom會(huì)議的視頻首選項(xiàng)。用戶和系統(tǒng)管理員仍然可以配置他們的客戶端視頻設(shè)置,以便在加入會(huì)議時(shí)關(guān)閉視頻。此更改將應(yīng)用于所有客戶端平臺(tái)。”
Zoom表示:“我們非常認(rèn)真地對(duì)待與我們產(chǎn)品相關(guān)的所有安全問題,并有一個(gè)專門的安全團(tuán)隊(duì)。我們承認(rèn),我們的網(wǎng)站目前沒有為報(bào)告安全問題提供明確的信息。在未來(lái)幾周,Zoom將使用其公共漏洞獎(jiǎng)勵(lì)計(jì)劃,補(bǔ)充我們現(xiàn)有的私人獎(jiǎng)勵(lì)計(jì)劃。”
不過,萊特舒赫對(duì)此仍持懷疑態(tài)度,并建議轉(zhuǎn)而采用“零日策略”,這顯然更能確保這類曝光受到關(guān)注。(騰訊科技審校/金鹿)
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)。
近日,德國(guó)柏林國(guó)際電子消費(fèi)品展覽會(huì)(IFA2024)隆重舉辦。憑借在核心技術(shù)、產(chǎn)品設(shè)計(jì)及應(yīng)用方面的創(chuàng)新變革,全球領(lǐng)先的智能終端企業(yè)TCL實(shí)業(yè)成功斬獲兩項(xiàng)“IFA全球產(chǎn)品設(shè)計(jì)創(chuàng)新大獎(jiǎng)”金獎(jiǎng),有力證明了其在全球市場(chǎng)的強(qiáng)大影響力。
近日,中國(guó)家電及消費(fèi)電子博覽會(huì)(AWE 2024)隆重開幕。全球領(lǐng)先的智能終端企業(yè)TCL實(shí)業(yè)攜多款創(chuàng)新技術(shù)和新品亮相,以敢為精神勇闖技術(shù)無(wú)人區(qū),斬獲四項(xiàng)AWE 2024艾普蘭大獎(jiǎng)。
“以前都要去窗口辦,一套流程下來(lái)都要半個(gè)月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。
由世界人工智能大會(huì)組委會(huì)、上海市經(jīng)信委、徐匯區(qū)政府、臨港新片區(qū)管委會(huì)共同指導(dǎo),由上海市人工智能行業(yè)協(xié)會(huì)聯(lián)合上海人工智能實(shí)驗(yàn)室、上海臨港經(jīng)濟(jì)發(fā)展(集團(tuán))有限公司、開放原子開源基金會(huì)主辦的“2024全球開發(fā)者先鋒大會(huì)”,將于2024年3月23日至24日舉辦。