الصورة: Medium.comاكتشف باحث الأمن ثغرة تكبير البرامج عن بعد عند استخدام البرنامج على أجهزة كمبيوتر Mac ، يمكن لأي موقع يفتحه المستخدم تنشيط الكاميرا على الجهاز دون طلب إذن بهذا الإجراء. يمكنك القيام بذلك حتى إذا تمت إزالة Zoom بالفعل من الكمبيوتر.
ما هي المشكلة
نشر الباحث جوناثان ليتشوه تفاصيل الضعف الحرجة CVE-2019-13450. بالإضافة إلى خطأ أمان آخر ، يمكن أن يسمح للمهاجمين بالتجسس عن بُعد على مستخدمي Mac.
أبلغ Leich فريق Zoom عن الثغرة الأمنية قبل أكثر من 90 يومًا من نشر معلومات حول هذا الموضوع ، ولكن تم إصدار تصحيح يغطي الخطأ بعد نشره على مدونة الباحث. وبالتالي ، فإن جميع مستخدمي المشروع البالغ عددهم 4 ملايين معرضون للخطر. يعد Zoom أحد أكثر التطبيقات السحابية شيوعًا للمؤتمرات عن بُعد والصوت والندوات الإلكترونية والفعاليات التدريبية.
تكمن مشكلة عدم الحصانة في التشغيل غير الصحيح لوظيفة النقر للاتصال - تم إنشاؤه لتنشيط عميل Zoom المثبت تلقائيًا على جهاز الكمبيوتر. مع ذلك ، يمكن للمشاركين الاتصال على الفور بالمؤتمر باستخدام متصفح. للقيام بذلك ، ما عليك سوى النقر على رابط الدعوة للنموذج
zoom.us/j/492468757 .
وجد الباحث أنه من أجل تفعيل هذه الوظيفة ، يقوم Zoom بتشغيل خادم ويب محلي يعمل على المنفذ 19421 على الكمبيوتر ، والذي يستقبل الأوامر عبر معلمات HTTPS GET "بطريقة غير آمنة" ويمكن لأي موقع ويب مفتوح في المتصفح التفاعل معه.
لاستغلال خطأ أمان ، يحتاج المهاجم إلى إنشاء رابط دعوة في Zoom وتضمينه في موقع خارجي كعلامة صور أو عبر iFrame. ثم تحتاج إلى إقناع الضحية بالذهاب إلى الموقع لتتمكن من تنشيط كاميرا الويب على جهاز كمبيوتر Mac الخاص بها.
بالإضافة إلى التجسس على الضحية ، يمكن استخدام مشكلة عدم الحصانة لتنفيذ هجوم DoS على الكمبيوتر الهدف. للقيام بذلك ، أرسل عددًا كبيرًا من طلبات GET إلى خادم الويب المحلي.
كيف تحمي نفسك
لا يساعد الإزالة البسيطة لـ Zoom في الحماية من المشكلة الموضحة. وفقًا للباحث ، فإن وظيفة النقر للانضمام تدعم أمرًا لإعادة تثبيت Zoom تلقائيًا دون إذن من المستخدم.
طبقًا لـ Leich ، أصدر متخصصو Zoom رقعة تمنع المهاجمين من تشغيل كاميرا فيديو على جهاز الضحية. في الوقت نفسه ، لا تزال القدرة على توصيل المستخدمين سراً بعقد مؤتمر عبر الإنترنت باستخدام روابط Zoom الضارة.
اليوم ، تعمل العديد من الخدمات على أساس خوارزميات تحليل البيانات. كما تبين الممارسة ، يتم إخفاء المخاطر ليس فقط في الوظائف الضعيفة ، ولكن أيضًا في البيانات نفسها ، والتي على أساسها يتخذ النظام القرارات.
مع ظهور خوارزميات جديدة للتعلم الآلي ، اتسع نطاق تطبيقها. منذ عدة سنوات حتى الآن ، تم استخدام التعلم الآلي في مجال أمن المعلومات ليس فقط للكشف عن الهجمات ، ولكن أيضًا للقيام بها.
يدرس الباحثون بنشاط تعلم الآلة الخبيثة (الهجوم العدائي). ومع ذلك ، في محاولة للتغلب على المهاجمين والتنبؤ بخطوتهم التالية ، ينسون الفرص التي يستخدمها المهاجمون الآن: سرقة النماذج ، الثغرات الأمنية في الإطار ، خداع بيانات التدريب ، الثغرات المنطقية.
في يوم الخميس ، 11 يوليو ، الساعة 2:00 بعد الظهر ، سيعقد أرسيني ريوتوف وخبيران إيجابيك تكنولوجيز ندوة عبر الإنترنت حول موضوع "المخاطر الأمنية لاستخدام تقنيات الذكاء الاصطناعي". سنتحدث عن مخاطر استخدام تقنيات التعلم الآلي في التطبيقات الحديثة.
المشاركة في الندوة مجانية ، والتسجيل مطلوب.