Если вы – один из миллионов пользователей Zoom video-conferencing, и у вас установлено приложение на Mac, вам рекомендуется проверить настройки, чтобы убедиться, что видеокамера не подключена по умолчанию. Просто должна стоять галочка в разделе «отключить мое видео при присоединении к видеосвязи», функцию можно найти в разделе настройки «Видео».
Это связано с недостатком безопасности, который был раскрыт в этом месяце исследователем Джонатаном Лейчухом. Пользователям также рекомендуется убедиться, что их приложения обновляются по мере выпуска новых обновлений.
Недостатки
Недостаток использует уязвимость в Zoom, где веб-сервер, установленный для улучшения пользовательского интерфейса, оставляет системы открытыми для вредоносных атак. Веб-камеры могут быть активированы принудительно, приглашая пользователей к вызовам в приложении Zoom, а удаленные приложения могут быть повторно активированы без разрешения пользователя на это.
Комментарии компании
Zoom объяснил, что это было сделано для улучшения качества обслуживания пользователей, дав комментарии ZDNet, компания добавила что это путь обхода взаимосвязи с Safari.
«Во-первых, – сказал Лейчух в своем докладе, — наличие установленного приложения с веб-сервером на компьютере с незарегистрированным API является плохой новостью. Во-вторых, тот факт, что любой веб-сайт, который посещает пользователь, может взаимодействовать с этим веб-сервером, является угрозой безопасности».
Лейчух обвинил Zoom в нарушении безопасности пользователей, открывая двери миллионов пользователей для атаки через плохо спроектированное техническое решение, которое обходит защиту браузера пользователя в собственных интересах. Лейчух утверждает, что данный вопрос уже предъявлялся компании Zoom еще в марте.
Представитель Zoom оспаривает это, говоря, что «как только проблема была доведена до сведения команды безопасности Zoom, мы ответили, собрав дополнительные детали, и приступили к оценке риска угрозы безопасности». Служба безопасности и инженеры компании привлекли сторонних профессионалов для выявления данной проблемы.
Лейчух также утверждает: «Zoom не удалось подтвердить, что уязвимость в приложении действительно существовала и следовательно, они не смогли своевременно устранить проблему. Компания такого уровня и с такой большой базой пользователей должна была быть более активной в защите своих пользователей от атак».
Помощь пользователям
Для пользователей рекомендуется просто изменить настройку видео и обновить свое приложение. Но на данный момент, нет никаких признаков серьезных технических изменений от приложения. Для решения этой проблемы должно пройти время. Поэтому изменение настройки видео – это пока что единственный совет пользователям.
Представители Zoom утверждают, что в настоящее время у них нет простого способа помочь пользователю удалить как учетную запись в Zoom, так и приложение Zoom на Mac, которое запускает наш клиент. Пользователь должен вручную найти в компьютере и удалить эти два приложения.
Zoom все-таки позже опубликовал полное заявление, подтверждающее проблему и тот факт, что «если злоумышленник может обмануть целевого пользователя, щелкнув веб-ссылку на URL-адрес Zoom либо на сообщения электронной почты на веб-сервере интернета, то злоумышленник сможет присоединиться к видеосвязи пользователя».
Zoom добавил, что июльское обновление «будет сохранять видео-предпочтения пользователей от их первой встречи в Zoom до всех будущих встреч. Это изменение будут применены ко всем платформам».
Заявление компании о собственной безопасности
В компании заявили, что они очень серьезно относиться ко всем проблемам безопасности, связанным с продуктами фирмы и имеет собственные разработки по защите безопасности. Также в компании признали, что данный веб-сайт (приложение) в настоящее время не предоставляет четкой информации для пользователей о проблемах безопасности. Таким образом, в ближайшие несколько недель Zoom выпустит программу Bug bounty, которая дополнит существующую.
