7月9日消息�,據(jù)外媒報(bào)道��,如果你是數(shù)百萬(wàn)Zoom視頻會(huì)議用戶中的一員�����,并且在Mac上安裝了這款應(yīng)用程序�����,那么網(wǎng)系統(tǒng)會(huì)建議你檢查設(shè)置,以確保默認(rèn)情況下禁用攝像頭��。在設(shè)置視頻部分���,你可以找到“加入會(huì)議時(shí)關(guān)閉視頻”的勾選框。
這是因?yàn)����,研究人員喬納森·萊特舒赫(Jonathan Leitschuh)按照“零日方法”規(guī)則披露了Zoom應(yīng)用的一個(gè)嚴(yán)重安全漏洞,同時(shí)建議用戶確保在公司發(fā)布補(bǔ)丁時(shí)更新他們的應(yīng)用程序��。
該漏洞利用Zoom中的架構(gòu)漏洞進(jìn)行攻擊��。在該漏洞中����,為改善用戶體驗(yàn)而安裝的Web服務(wù)器會(huì)使系統(tǒng)面臨惡意攻擊,網(wǎng)絡(luò)攝像頭可以激活�。本質(zhì)上,通過強(qiáng)制邀請(qǐng)用戶參加Zoom呼叫�����,以發(fā)起拒絕服務(wù)攻擊(因?yàn)榇蛄搜a(bǔ)丁)��,并且可以重新激活卸載的應(yīng)用程序���,所有這些都不需要用戶許可�����。
Zoom解釋說(shuō)���,這樣做是為了改善零散的用戶體驗(yàn)�����,是對(duì)Safari 12進(jìn)行升級(jí)的變通辦法��,這是“一個(gè)針對(duì)糟糕用戶體驗(yàn)的合法解決方案�����,使我們的用戶能夠無(wú)縫地一鍵加入會(huì)議�����,這是我們的關(guān)鍵產(chǎn)品差異化��。”
然而�����,萊特舒赫在他的披露中說(shuō):“首先����,在我的本地機(jī)器上安裝運(yùn)行Web服務(wù)器的Zoom應(yīng)用程序��,使用完全沒有文檔記錄的API�,對(duì)我來(lái)說(shuō)感覺非常粗略。其次�,我訪問的任何網(wǎng)站都可以與運(yùn)行在我機(jī)器上的這個(gè)Web服務(wù)器進(jìn)行交互,這對(duì)對(duì)于作為安全研究員的我來(lái)說(shuō)��,是一個(gè)巨大的危險(xiǎn)信號(hào)���。”
萊特舒赫指責(zé)Zoom通過使用本地服務(wù)器“在背后制定了巨大的目標(biāo)”�����,通過一個(gè)架構(gòu)糟糕的技術(shù)解決方案讓數(shù)百萬(wàn)用戶陷入遭到網(wǎng)絡(luò)攻擊的危險(xiǎn)中��,這種解決方案以改善用戶體驗(yàn)為借口基本上繞過了用戶瀏覽器的安全保護(hù)措施���,而這些保障措施顯然是有充分理由的。
萊特舒赫在3月份向Zoom披露了這個(gè)問題,他說(shuō):“利用令人驚訝的��、功能簡(jiǎn)單的Zoom漏洞����,你只需向任何人發(fā)送會(huì)議鏈接(例如https://zoom.us/j/492468757),當(dāng)他們?cè)跒g覽器中打開該鏈接時(shí)���,他們的Zoom客戶端在他們的本地機(jī)器上就能神奇地打開��,這讓用戶很容易陷入攻擊危險(xiǎn)之中��。”
在披露中�����,萊特舒赫表示�,Zoom推遲了對(duì)漏洞的處理����,直到90天未披露“寬限期”結(jié)束前18天才開始討論他的發(fā)現(xiàn)。然后�,在6月24日,“經(jīng)過90天的等待���,也就是公開披露截止日期前的最后一天”���,Zoom只是簡(jiǎn)單地部署了他三個(gè)月前向該公司提出的“快速解決方案”����。
萊特舒赫說(shuō):“最終����,Zoom未能快速確認(rèn)報(bào)告的漏洞確實(shí)存在��,他們也未能及時(shí)將問題的解決方案交付給客戶�����。擁有如此龐大的用戶群的組織�,本應(yīng)更積極主動(dòng)地保護(hù)其用戶免受攻擊。”
精通技術(shù)的用戶可以找到并刪除應(yīng)用程序�,但對(duì)于我們其余的人,應(yīng)該改變視頻設(shè)置并保持應(yīng)用程序更新�。目前還沒有跡象表明Zoom會(huì)進(jìn)行重大技術(shù)上的改變,以解決這個(gè)架構(gòu)上的弱點(diǎn)��,所以改變視頻設(shè)置并保持它的改變��,似乎是避免遭到攻擊的最佳方式。
在一份聲明中����,Zoom確認(rèn)了這個(gè)問題,并承認(rèn)“如果攻擊者能夠誘使目標(biāo)用戶點(diǎn)擊指向攻擊者Zoom會(huì)議的Web鏈接���,無(wú)論是在電子郵件消息中還是在網(wǎng)絡(luò)服務(wù)器上���,目標(biāo)用戶都可能在不知情的情況下加入攻擊者的Zoom會(huì)議。”
Zoom補(bǔ)充說(shuō)�,其7月份的更新“將應(yīng)用并保存用戶從第一次Zoom會(huì)議到未來(lái)所有Zoom會(huì)議的視頻首選項(xiàng)。用戶和系統(tǒng)管理員仍然可以配置他們的客戶端視頻設(shè)置��,以便在加入會(huì)議時(shí)關(guān)閉視頻�����。此更改將應(yīng)用于所有客戶端平臺(tái)�。”
Zoom表示:“我們非常認(rèn)真地對(duì)待與我們產(chǎn)品相關(guān)的所有安全問題,并有一個(gè)專門的安全團(tuán)隊(duì)��。我們承認(rèn)�����,我們的網(wǎng)站目前沒有為報(bào)告安全問題提供明確的信息。在未來(lái)幾周�����,Zoom將使用其公共漏洞獎(jiǎng)勵(lì)計(jì)劃����,補(bǔ)充我們現(xiàn)有的私人獎(jiǎng)勵(lì)計(jì)劃。”
不過��,萊特舒赫對(duì)此仍持懷疑態(tài)度��,并建議轉(zhuǎn)而采用“零日策略”�����,這顯然更能確保這類曝光受到關(guān)注�。(騰訊科技審校/金鹿)
文章內(nèi)容僅供閱讀�,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待��。投資者據(jù)此操作����,風(fēng)險(xiǎn)自擔(dān)���。
京公網(wǎng)安備 11010502041587號(hào)