上周,研究员Jonathan Leytsach发表了一篇激动人心的帖子,内容涉及Zoom Web会议MacOS客户端
漏洞 。 在这种情况下,尚不清楚该漏洞是意外错误还是预先计划的功能。 让我们尝试弄清楚,但总的来说,结果是这样的:如果您安装了Zoom客户端,攻击者可以将您连接到他的新闻组而无需需求,此外,他可以激活网络摄像头而无需其他权限。
当某人决定不从客户端搜索补丁程序版本时,便决定从系统中删除该客户端。 但是在这种情况下,它将无济于事:客户端安装了Web服务器,即使在卸载后该服务器也可以工作-它甚至能够将客户端软件“返回”到其位置。 因此,即使那些曾经使用过Zoom服务却又停下来的人也处于危险之中。 苹果公司在没有大张旗鼓的情况下提供了帮助,他们通过更新操作系统删除了Web服务器。 这个故事是一部真正的信息安全戏剧,用户只能观看各种软件在计算机上的显示和消失方式。
对Zoom客户端工作方式的研究始于对本地网络服务器的研究:服务网站在打开连接到新闻组的链接时会尝试访问它。 通过传输某种格式的图像,使用了一种相对优雅的方法来查询本地服务器的状态。
这样做是为了遵循
跨域资源共享的规则来规避浏览器的限制。 您还可以将会议连接请求发送到Zoom Web服务器。 该查询如下所示:
您可以创建会议,在网页上发出类似请求,向受害者发送链接,并且计算机上安装的客户端将自动连接用户。 此外,值得看一下网络会议本身的参数:
您可以选择强制打开用户的网络摄像头。 也就是说,您可以诱使一个毫无戒心的人参加电话会议,并立即从摄像机接收图像(但是受害者需要手动打开麦克风的声音)。 在Zoom客户端中,可以阻止自动包含照相机,但是使用默认设置,照相机会立即打开。 顺便说一句,如果您发送连续连接到会议的请求,则Zoom应用程序将不断将焦点切换到其自身,从而阻止用户以某种方式取消此操作。 这是经典的“拒绝服务”攻击。
最后,研究人员证实,如果计算机上正在运行Web服务器,则可以强制升级或重新安装Zoom客户端。 最初,供应商的反应远非理想。 Zoom的开发人员在Web服务器的逻辑中为“补丁”提出了几种选择,以排除无需求地连接用户的可能性。 所有这些都容易解决,或者使潜在攻击者的生活变得有些复杂。 最终的解决方案是添加另一个传递给本地服务器的参数。 研究人员发现,它也没有解决问题。 唯一经过精确修复的是允许DoS攻击的漏洞。 并且,根据乔纳森(Jonathan)应会议组织者的要求删除网络摄像头的建议,答案完全是因为这是一项功能,“它对客户更方便”。
3月8日,研究人员第一次尝试与Zoom开发人员取得联系。 7月8日,解决该漏洞的公认的三个月截止日期到期,乔纳森(Jonathan)发表了一篇有关他认为尚未解决的问题的文章。 只有在文章发表后,Zoom才采取了更为激进的措施:7月9日,
发布了
一个补丁程序 ,
该补丁程序从运行macOS的计算机上完全删除了Web服务器。
亲爱的编辑人员定期通过视频会议进行交流,并可以根据个人经验说:每个人都这样做。 并不是每个人都使用客户端安装本地Web服务器,然后忘记删除它。 所有或几乎所有会议服务在系统上需要的权限比浏览器页面所提供的更多。 因此,使用本地应用程序,浏览器扩展和其他工具,以便麦克风和相机在通信过程中正常工作,您可以共享文件和桌面图像。 坦率地说,Zoom的“漏洞”(或逻辑上的故意错误)并不是此类服务所发生的最糟糕的事情。
在2017年,另一个会议服务-Cisco Webex的浏览器扩展中
发现了一个问题。 在这种情况下,该漏洞允许在系统上执行任意代码。 在2016年,趋势科技密码管理器还在
本地 Web服务器中发现了一个问题,这也打开了执行任意代码的可能性。 去年年底,我们在Logitech键盘和鼠标实用程序中
写了一个漏洞:即使在这里,我们也使用本地Web服务器,可以从任何地方进行访问。
结论:这是一个相当普遍的做法,尽管从安全角度来看,这显然不是最好的-这种Web服务器存在太多潜在的漏洞。 尤其是如果默认情况下创建它以便与外部资源(例如,发起Web会议的站点)进行交互。 特别是如果无法删除它。 为了方便用户或为了开发人员,显式实现了卸载后快速还原Zoom客户端的功能。 但是,在该研究发表后,这带来了其他问题。 好的,活跃的Zoom用户得到了更新,问题已解决。 对于曾经使用过Zoom客户端,然后停止运行但本地Web服务器仍适用于他们的用户,该怎么办? 事实证明,即使在这种情况下,苹果也悄悄发布了一个删除Web服务器的更新。
我们必须向Zoom服务的开发者表示敬意:可以说,在公众的负面反应之后,他们解决了问题,现在定期与用户
共享更新 。 这显然不是成功的故事:在这里,开发人员还礼貌地忽略了研究人员的真实建议,研究人员称他不是一个“暴君”。 但是最后一切都很好。
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。