Na semana passada, o pesquisador Jonathan Leytsach publicou uma publicação altamente emocional sobre as
vulnerabilidades dos clientes de conferência na Web Zoom no macOS. Nesse caso, não está totalmente claro se a vulnerabilidade foi um bug não intencional ou um recurso pré-planejado. Vamos tentar descobrir, mas, resumindo, acontece assim: se você tiver o cliente Zoom instalado, o invasor poderá conectá-lo ao seu grupo de notícias sem demanda, além disso, ele poderá ativar a webcam sem solicitar permissões adicionais.
O momento em que, em vez de procurar uma versão corrigida, alguém decide simplesmente remover o cliente do sistema. Mas, neste caso, não ajudará: um servidor da Web é instalado com o cliente, que funciona mesmo após a desinstalação - ele é capaz de "devolver" o software do cliente ao seu lugar. Assim, mesmo aqueles que usaram os serviços de Zoom, mas depois pararam, estavam em perigo. A Apple veio em seu auxílio, sem muita alarde, o que removeu o servidor da web com uma atualização para o sistema operacional. Esta história é um drama infosec real, no qual os usuários podem apenas observar como vários softwares aparecem e desaparecem em seus computadores.
O estudo dos métodos de trabalho do cliente Zoom começou com o estudo do servidor da web local: o site do serviço tenta acessá-lo ao abrir um link para conectar-se a um grupo de notícias. Um método relativamente elegante foi usado para consultar o status de um servidor local - transmitindo uma imagem de um determinado formato.
Isso é feito para contornar as limitações do navegador, seguindo as regras do
Compartilhamento de Recursos de Origem Cruzada . Você também pode enviar uma solicitação de conexão de conferência ao servidor da Web Zoom. Esta consulta é algo como isto:
Você pode criar uma conferência, fazer uma solicitação semelhante em uma página da web, enviar um link para a vítima e o cliente instalado no computador conectará automaticamente o usuário. Além disso, vale a pena examinar os parâmetros da própria webconferência:
Você tem a opção de forçar a webcam do usuário a ligar. Ou seja, você pode atrair uma pessoa desavisada para uma chamada em conferência e receber imediatamente uma imagem da câmera (mas a vítima precisará ativar manualmente o som do microfone). No cliente Zoom, a inclusão automática da câmera pode ser bloqueada, mas com as configurações padrão, a câmera é ligada imediatamente. A propósito, se você enviar solicitações para se conectar à conferência continuamente, o aplicativo Zoom mudará constantemente o foco para si mesmo, impedindo que o usuário cancele de alguma forma esta ação. Este é um ataque clássico de negação de serviço.
Por fim, o pesquisador confirmou a capacidade de forçar a atualização ou reinstalar o cliente Zoom se um servidor da Web estiver sendo executado no computador. A reação do fornecedor estava inicialmente longe do ideal. Os desenvolvedores do Zoom propuseram várias opções de "patches" na lógica do servidor da web para excluir a possibilidade de conectar usuários sem demanda. Todos eles facilmente contornaram ou complicaram um pouco a vida de um invasor em potencial. A solução final foi adicionar outro parâmetro passado ao servidor local. Como o pesquisador descobriu, também não resolveu o problema. A única coisa que foi reparada com precisão foi a vulnerabilidade que permitiu um ataque de negação de serviço. E, com a proposta de Jonathan de remover a inclusão de uma webcam a pedido do organizador da conferência, a resposta foi completamente dada, pois esse é um recurso: "é mais conveniente para os clientes".
A primeira vez que um pesquisador tentou entrar em contato com os desenvolvedores do Zoom em 8 de março. Em 8 de julho, o prazo de três meses geralmente aceito para corrigir a vulnerabilidade expirou, e Jonathan publicou uma publicação sobre o que considerava um problema não resolvido. Somente após a publicação do artigo, o Zoom tomou medidas mais radicais: em 9 de julho, foi
lançado um patch que remove completamente o servidor da Web dos computadores executando o macOS.
Caros editores, comunicam-se regularmente por videoconferência e podem dizer por experiência própria: todo mundo faz. Não no sentido de que todos instalam um servidor da Web local com o cliente e depois esquecem de excluí-lo. Todos ou quase todos os serviços de conferência exigem mais privilégios no sistema do que uma página do navegador pode fornecer. Portanto, aplicativos locais, extensões do navegador e outras ferramentas são usadas, para que o microfone e a câmera funcionem durante o processo de comunicação, você pode compartilhar arquivos e a imagem da área de trabalho. Francamente, a “vulnerabilidade” (ou melhor, um erro deliberado na lógica) do Zoom não é a pior coisa que aconteceu com esses serviços.
Em 2017, um problema foi
descoberto na extensão do navegador de outro serviço de conferência - Cisco Webex. Nesse caso, a vulnerabilidade permitiu que código arbitrário fosse executado no sistema. Em 2016, o gerenciador de senhas da Trend Micro também encontrou um problema no servidor da web
local , o que também abriu a possibilidade de execução arbitrária de código. No final do ano passado,
escrevemos sobre um buraco no utilitário de teclado e mouse da Logitech: mesmo lá, usamos um servidor da Web local, cujo acesso era possível de qualquer lugar.
Conclusão: essa é uma prática bastante comum, embora, do ponto de vista da segurança, ela não seja claramente a melhor - há muitos furos em potencial com esse servidor da Web. Especialmente se ele for criado por padrão para interagir com recursos externos (por exemplo, um site que inicia uma conferência na web). Especialmente se não puder ser excluído. A capacidade de restaurar rapidamente o cliente Zoom após a desinstalação foi explicitamente feita para a conveniência dos usuários ou para a conveniência do desenvolvedor. No entanto, após a publicação do estudo, isso trouxe problemas adicionais. Ok, os usuários ativos do Zoom receberam uma atualização e o problema foi resolvido. E o que fazer com aqueles que usaram o cliente Zoom e depois pararam, mas o servidor da web local ainda funciona para eles? Como se viu, a Apple silenciosamente lançou uma atualização que remove o servidor da web, mesmo neste caso.
Devemos prestar homenagem ao desenvolvedor do serviço Zoom: depois de, por assim dizer, uma reação negativa do público, eles resolveram o problema e agora
compartilham regularmente
atualizações com os usuários. Claramente, essa não é uma história de sucesso: aqui, o desenvolvedor também tentou educadamente ignorar as sugestões reais do pesquisador, e o pesquisador chamou o que ele não é um "tirano". Mas no final tudo acabou bem.
Isenção de responsabilidade: as opiniões expressas neste resumo nem sempre coincidem com a posição oficial da Kaspersky Lab. Caros editores, geralmente recomendam tratar qualquer opinião com ceticismo saudável.