Orice Mac cu aplicația de teleconferință Zoom poate fi spionat chiar acum. Da, este o zi proastă pentru securitatea Apple, deoarece site-urile web rău intenționate pot fi codate pentru a porni de la distanță un apel video conferință pe Mac - și atacul poate fi trimis chiar prin e-mail.
Această știre, dezvăluită de cercetătorul în securitate Jonathan Leitschuh, arată că chiar și Mac-urile care nu mai au instalat Zoom - dar au făcut-o odată - sunt vulnerabile. Vestea bună este însă că există soluții (una este însă foarte dificilă), iar Zoom pare să rezolve totul în curând.
Ce e de făcut acum
Remedierea, datorită schimbării poziției Zoom, pare a fi la fel de simplă ca acceptarea actualizărilor Zoom pe măsură ce sosesc. Într-o actualizare la marea postare pe blog a Zoom-ului despre defect, compania a declarat că un patch care va veni diseară (9 iulie) la sau înainte de 3 a.m. EST / miezul nopții PST va rezolva lucrurile. Utilizatorilor li se va solicita să actualizeze aplicația și că, odată ce actualizarea este terminată, „serverul web local va fi complet eliminat pe acel dispozitiv”.
Actualizarea presupune, de asemenea, îmbunătățirea procedurii de dezinstalare. Postarea Zoom-ului afirmă „Adăugăm o nouă opțiune la bara de meniu Zoom care va permite utilizatorilor să dezinstaleze manual și complet clientul Zoom, inclusiv serverul web local.”
Așteptăm cu nerăbdare să vedem dacă Jonathan Leitschuh și alți cercetători în domeniul securității consideră că Zoom face o treabă temeinică și adecvată.
Pentru a vă proteja computerul Mac, deschideți Setări pentru Zoom - faceți clic pe Zoom în bara de meniu, apoi faceți clic pe Setări - și deschideți secțiunea Video. Apoi bifați caseta de lângă „Dezactivează videoclipul meu când participi la o întâlnire”.
În postarea sa, Leitschuh a distribuit, de asemenea, cod pentru a fi utilizat în terminal. Aceste instrucțiuni devin puțin complicate și sunt cele mai bune pentru utilizatorii super-tehnici care ar prefera. Aceste sfaturi sunt făcute pentru a eradica serverul web pe care Zoom îl creează pe Mac.
Cum functioneaza
Da, acest lucru este posibil, deoarece Zoom instalează în secret un server web pe Mac, unul care primește și acceptă cereri pe care browserele dvs. web nu le-ar face. Leitschuh a explicat că a încercat să colaboreze cu Zoom, contactând compania în luna martie trecută, dar că „soluțiile sale nu erau suficiente pentru a-și proteja pe deplin utilizatorii”.
De asemenea, așa cum am menționat mai devreme, chiar și acei utilizatori care au dezinstalat Zoom de pe computerele lor sunt vulnerabili. Leitschuh explică faptul că serverul web instalat de Zoom rămâne în urmă chiar și după ce ați eliminat programul și că serverul poate fi declanșat de la distanță pentru a actualiza și instala automat cea mai recentă versiune de Zoom.
O, iar o victimă nici măcar nu trebuie să fie păcălită să deschidă o pagină web. În primul rând, utilizatorul Vimeo „fun jon” a postat dovezi video că puteți ataca acest defect prin e-mail, iar ținta nici măcar nu trebuie să deschidă mesajul. Trebuie doar să utilizeze o aplicație client de e-mail care descarcă mesajul codat cu rea intenție.
După ce Leitschuh s-a certat cu Zoom, susținând că a spus companiei că „permiterea unei gazde să aleagă dacă un participant se va alătura automat sau nu cu videoclipul” este o „vulnerabilitate de securitate independentă”, compania nu a fost de acord, poziționând decizia sa ca fiind pro-utilizator: „Zoom crede în a oferi clienților noștri puterea de a alege modul în care doresc să mărească. "
Vrei să o vezi singur?
Dacă ați avut vreodată Zoom pe mașina dvs., puteți vedea acest lucru pentru dvs.
Căutați în postarea de blog a lui Leitschuh expresia „zoom_vulnerability_poc /” - deoarece acesta este linkul către dovada sa de concept, care lansează un apel Zoom. Prima este o versiune exclusiv audio; al doilea link, care include „iframe” în URL, pornește un apel cu videoclip activ.
Această vulnerabilitate Zoom este bananele. Am încercat una dintre legăturile de dovadă a conceptului și m-am conectat la alți trei randos, care, de asemenea, s-au speriat despre asta în timp real. https://t.co/w7JKHk8nZypic.twitter.com/arOE6DbQaf - Matt Haughey (@mathowie) 9 iulie 2022-2023
Acest articol a apărut inițial în Ghidul lui Tom.
- MacOS Catalina Beta Review
- Am folosit un mouse cu iPadOS și iată cum funcționează
- iPadOS Beta Review