في الأسبوع الماضي ، نشر الباحث جوناثان ليتساش موضوعًا عاطفيًا للغاية حول
ثغرات العميل في مؤتمرات الويب على نظام Zoom. في هذه الحالة ، ليس من الواضح تمامًا ما إذا كانت الثغرة الأمنية عبارة عن خطأ غير مقصود أو ميزة مخططة مسبقًا. دعنا نحاول معرفة ذلك ، ولكن باختصار ، اتضح أن هذا هو الحال: إذا كان لديك عميل Zoom مثبتًا ، فيمكن للمهاجم توصيلك بمجموعة الأخبار دون الحاجة ، علاوة على ذلك ، يمكنه تنشيط كاميرا الويب دون طلب أذونات إضافية.
في اللحظة التي يقرر فيها شخص ما إزالة العميل من النظام بدلاً من البحث عن إصدار مرقع. ولكن في هذه الحالة لن يساعد ذلك: يتم تثبيت خادم ويب مع العميل ، والذي يعمل حتى بعد إلغاء التثبيت - بل إنه قادر على "إعادة" برنامج العميل إلى مكانه. وبالتالي ، حتى أولئك الذين استخدموا خدمات Zoom مرة واحدة ، ولكنهم توقفوا بعد ذلك ، كانوا في خطر. قدمت Apple مساعدتها ، دون ضجة كبيرة ، والتي أزالت خادم الويب بتحديث لنظام التشغيل. هذه القصة عبارة عن دراما Infosec حقيقية ، حيث يمكن للمستخدمين فقط مشاهدة كيف تظهر البرامج المختلفة وتختفي على أجهزة الكمبيوتر الخاصة بهم.
بدأت دراسة أساليب عمل عميل Zoom بدراسة خادم الويب المحلي: يحاول موقع الويب الخاص بالخدمة الوصول إليه عند فتح رابط للاتصال بمجموعة أخبار. تم استخدام طريقة أنيقة نسبيًا للاستعلام عن حالة خادم محلي - عن طريق إرسال صورة بتنسيق معين.
يتم ذلك للتحايل على قيود المتصفح باتباع قواعد
مشاركة الموارد المشتركة . يمكنك أيضًا إرسال طلب اتصال مؤتمر إلى خادم Zoom على الويب. يبدو هذا الاستعلام مثل هذا:
يمكنك إنشاء مؤتمر ، وتقديم طلب مماثل على صفحة ويب ، وإرسال رابط إلى الضحية ، ويقوم العميل المثبت على جهاز الكمبيوتر تلقائيًا بتوصيل المستخدم. علاوة على ذلك ، يجدر النظر إلى معايير مؤتمر الويب نفسه:
لديك خيار إجبار كاميرا الويب الخاصة بالمستخدم على التشغيل. وهذا يعني أنه يمكنك جذب شخص لا يساوره الشك إلى مكالمة جماعية وتلقي صورة على الفور من الكاميرا (لكن الضحية ستحتاج إلى تشغيل الصوت يدويًا من الميكروفون). في عميل Zoom ، يمكن حظر التضمين التلقائي للكاميرا ، ولكن مع الإعدادات الافتراضية ، يتم تشغيل الكاميرا على الفور. بالمناسبة ، إذا قمت بإرسال طلبات للاتصال بالمؤتمر بشكل مستمر ، فإن تطبيق Zoom سيحول التركيز باستمرار إلى نفسه ، مما يمنع المستخدم من إلغاء هذا الإجراء بطريقة أو بأخرى. هذا هو الهجوم الحرمان من الخدمة الكلاسيكية.
وأخيرًا ، أكد الباحث القدرة على فرض ترقية أو إعادة تثبيت عميل Zoom إذا كان خادم الويب يعمل على الكمبيوتر. كان رد فعل البائع في البداية بعيدًا عن المثالية. اقترح مطورو Zoom عدة خيارات لـ "تصحيحات" في منطق خادم الويب لاستبعاد إمكانية توصيل المستخدمين دون طلب. كل منهم بسهولة حصلت حولها أو تعقيد حياة المهاجم المحتمل قليلا. كان الحل النهائي هو إضافة معلمة أخرى تم تمريرها إلى الخادم المحلي. كما اكتشف الباحث ، لم يحل المشكلة أيضًا. الشيء الوحيد الذي تم إصلاحه بدقة هو الثغرة الأمنية التي سمحت لهجوم حجب الخدمة. وبناءً على اقتراح جوناثان بإزالة تضمين كاميرا الويب بناءً على طلب منظم المؤتمر ، تم إعطاء الإجابة تمامًا وهي أن هذه ميزة "إنها أكثر ملاءمة للعملاء".
أول مرة حاول فيها أحد الباحثين التواصل مع مطوري Zoom في 8 مارس. في 8 يوليو ، انتهت مهلة الثلاثة أشهر المقبولة عمومًا لإصلاح الثغرة الأمنية ، ونشر جوناثان منشورًا حول ما اعتبره مشكلة لم يتم حلها. فقط بعد نشر المقال ، اتخذ Zoom إجراءات أكثر جذرية: في 9 يوليو ، تم
إصدار تصحيح يزيل خادم الويب تمامًا من أجهزة الكمبيوتر التي تعمل بنظام macOS.
يتواصل المحررون الأعزاء بانتظام عبر مؤتمرات الفيديو ويمكنهم أن يقولوا من خلال تجربة شخصية: الجميع يفعل ذلك. ليس بمعنى أن كل شخص يقوم بتثبيت خادم ويب محلي مع العميل ثم ينسى حذفه. تتطلب جميع خدمات المؤتمرات أو جميعها تقريبًا امتيازات على النظام تفوق ما يمكن أن توفره صفحة المتصفح. لذلك ، يتم استخدام التطبيقات المحلية وملحقات المستعرض وأدوات أخرى ، بحيث يعمل الميكروفون والكاميرا أثناء عملية الاتصال ، يمكنك مشاركة الملفات وصورة سطح المكتب. بصراحة ، "الضعف" (أو بالأحرى ، خطأ متعمد في منطق) Zoom ليس أسوأ شيء حدث مع مثل هذه الخدمات.
في عام 2017 ، تم
اكتشاف مشكلة في امتداد متصفح خدمة مؤتمرات أخرى - Cisco Webex. في هذه الحالة ، سمحت الثغرة الأمنية بتنفيذ تعليمات برمجية عشوائية على النظام. في عام 2016 ، وجد مدير كلمة مرور Trend Micro أيضًا مشكلة في خادم الويب
المحلي ، مما فتح إمكانية تنفيذ تعليمات برمجية عشوائية. في نهاية العام الماضي ،
كتبنا عن وجود ثقب في لوحة المفاتيح ولوحة الماوس لوجيتك: حتى هناك استخدمنا خادم ويب محلي ، وكان الوصول إليه ممكنًا من أي مكان.
الخلاصة: هذه ممارسة شائعة إلى حد ما ، على الرغم من أنها من الناحية الأمنية ليست الأفضل - من الواضح أن هناك الكثير من الثغرات المحتملة في خادم الويب هذا. خاصةً إذا تم إنشاؤه افتراضيًا للتفاعل مع الموارد الخارجية (على سبيل المثال ، موقع يبدأ مؤتمر ويب). خاصة إذا كان لا يمكن حذفه. تم إجراء إمكانية استعادة عميل Zoom بسرعة بعد إلغاء التثبيت بشكل صريح إما لراحة المستخدمين أو لراحة المطور. ومع ذلك ، بعد نشر الدراسة ، جلب هذا مشاكل إضافية. حسنًا ، حصل مستخدمو Zoom النشطون على تحديث وتم حل المشكلة. وماذا تفعل مع أولئك الذين استخدموا مرة واحدة عميل Zoom ، ثم توقف ، ولكن لا يزال خادم الويب المحلي يعمل لصالحهم؟ كما اتضح فيما بعد ، أصدرت Apple بهدوء تحديثًا يزيل خادم الويب حتى في هذه الحالة.
يجب أن نشيد بمطور خدمة Zoom: بعد ، إذا جاز التعبير ، رد فعل سلبي من الجمهور ، فقد قاموا بحل المشكلة
ومشاركة التحديثات الآن مع المستخدمين بشكل منتظم. من الواضح أن هذه ليست قصة نجاح: هنا ، حاول المطور أيضًا بأدب أن يتجاهل الاقتراحات الحقيقية للباحث ، ودعا الباحث ما لم يكن "طاغية" تمامًا. ولكن في النهاية انتهى كل شيء بشكل جيد.
إخلاء المسئولية: الآراء الواردة في هذا الملخص قد لا تتوافق دائمًا مع الموقف الرسمي لـ Kaspersky Lab. عزيزي المحررين يوصون عمومًا بمعالجة أي آراء بتشكك صحي.