Apple выпустила «тихий» апдейт для Mac, чтоб удалить скрытый веб-сервер от Zoom



    Компания Apple выпустила «тихое» обновление для операционной системы macOS. Обновление устанавливается незаметно для пользователя и удаляет уязвимый компонент в популярном приложении для видеоконференций Zoom. Уязвимый компонент — это скрытый веб-сервер localhost, который раньше устанавливался на компьютер при инсталляции клиента Zoom и оставался на компьютере даже после удаления клиента.

    В последние несколько дней большой резонанс получило расследование специалиста по безопасности Джонатана Лейтшуха (Jonathan Leitschuh). Он показал, что Mac Zoom Client позволяет любому сайту активировать веб-камеру Mac без согласия пользователя (или присоединиться к текущему разговору). Это позволяет просто вырубить «мак» с любой веб-страницы отправкой непрерывного потока запросов на подключение к некорректному звонку. Соответствующие уязвимости зарегистрированы под номерами CVE-2019–13449 (DoS-атака) и CVE-2019–13450 (веб-сервер). Первую из них Zoom исправила в версии клиента 4.4.2, а вторая закрывается нынешним обновлением.

    Обновление не требует взаимодействия с пользователем и развёртывается автоматически. Оно удаляет скрытый веб-сервер, который Zoom устанавливает на компьютерах пользователей вместе с приложением для проведения видеоконференций.

    Веб-сервер


    Интересно, что если установить клиент Zoom, а потом удалить его, веб-сервер localhost остаётся на компьютере. Он автоматически переустановит Zoom без всякого взаимодействия с пользователем по запросу веб-страницы.



    Эта «функция» продолжала работать, пока Джонатан Лейтшух не решил разгласить информацию, чтобы вынудить Apple всё-таки признать её как уязвимость.



    Apple и Zoom, видимо, изначально не считали её уязвимостью. Ведь это так удобно: вы можете послать кому-угодно ссылку по почте или в мессенджере (например, https://zoom.us/j/492468757), получатель нажмёт на неё — и у него на компьютере волшебным образом откроется клиент Zoom. Настоящая магия.



    К сожалению, функция была реализована не совсем безопасным образом, и слишком многое позволяла сторонним сайтам.

    Исследователь сообщил представителю Zoom об уязвимости 26 марта 2019 года, в том числе предложил описание хотфикса, который можно было реализовать путём простого изменения логики сервера. На подтверждение уязвимости Zoom потребовалось 10 дней. Первое реальное обсуждение темы состоялось 11 июня 2019 года, всего за 18 дней до окончания 90-дневного срока публичного раскрытия. В ходе этой встречи были подтверждены детали уязвимости и обсуждён запланированный патч для Zoom. Но Джонатан говорит, что в их запланированном исправлении он уже изначально мог описать способ обхода. По сути, компания не смогла чётко сформулировать суть уязвимости и быстро выпустить эффективный патч.

    Zoom выпустила патч 21 июня, за три дня до истечения положенного срока, но довольно быстро был обнаружен способ обойти его и снова обратиться к веб-серверу на компьютере пользователя с посторонней веб-страницы. Джонатан Лейтшух опубликовал веб-страницу с демонстрацией концепции. Если у вас не установлен последний патч, то по нажатию на эту ссылку автоматически активируется вызов Zoom и включится веб-камера.

    8 июля вышла новая версия Zoom, которая должна была защитить пользователей от несанкционированной активности веб-сервера localhost. После установки нового обновления клиент спрашивает у пользователей, хотят ли они открыть приложение, тогда как раньше оно открывалось автоматически. Но для полного решения проблемы понадобилось ещё и обновление операционной системы.

    Как часто делает Apple, новое обновление устанавливается на компьютеры пользователей без их ведома. Представитель Zoom Присцилла Маккарти (Priscilla McCarthy) сказала TechCrunch: «Вместе с Apple мы работали над тестированием этого обновления. Мы ожидаем, что проблема веб-сервера сегодня будет решена. Благодарим пользователей за терпение, поскольку мы продолжаем работать над решением их проблем».

    Обновление можно установить самостоятельно из командной строки:

    softwareupdate -i MRTConfigData_10_14-1.45 --include-config-data

    Более четырёх миллионов пользователей в 750 000 компаниях по всему миру используют Zoom для видеоконференций.

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 46

      +2

      Ну ладно айфон мне не принадлежит, а я взял его попользоваться у Apple. Но mac? Apple тоже решает, как будет лучше мне, вместо меня? И почему так сделано только для клиента zoom, а не например для Skype?

        +5
        Если айфон вам не принадлежит, то есть ли веские причины по которым вам должен принадлежать mac? Между этими устройствами нет фундаментальной разницы.
          –6
          Есть. Айфон это окно в интернет (физическое воплощение браузера), а мак это персональный комп для работы.
            +4
            Это не так. И айфон, и мак прежде всего компьютеры, функциональность которых определяется набором установленного ПО.
              0
              Так же можно сказать — что это всего лишь материя, функциональность которой определяется структурой. Говоря про то что оба они компьютеры — вы путаете цель и средства.

              iPhone и Mac очень разные устройства, с разной ЦА, философией и изначальной идеей и рынком. Веские причины того что мак должен принадлежать вам — конкуренция среди ноутбуков в рабочем сегменте, механизм использование и как следствие — большее владение операционной системой, в отличие от айфона.

                0
                Сколько хакеров должны купить iPhone, чтобы яблоко дало свободу?
          +3

          Это не apple, а zoom скозлил. Хотя косвенная вина apple тут тоже есть — safari, в отличии от других браузеров не поддерживает ссылки для приложений (что-то типа zoom:// открывать в клиенте zoom). Поэтому гении из zoom придумали такой хитрый обход — локальный сервер, к которому делается запрос с сайта zoom, после чего сервер открывает клиент. "Для удобства пользователей" эти кулхацкеры решили не удалять сервер, чтобы можно было переустановить клиент. И у пользователей ссылки все-равно будут работать — красота!


          Руки за такое отрывать, по-идее, надо бы. Сделали сервер на каждом пользовательском компьютере, доступный ЛЮБОМУ веб сайту. Повезло, что придумали только как через него мак вешать. А если бы там переполнение буфера какое-нибудь было, это же все маководы, с когда-либо установленным zoom-ом были бы с RCE дырой, доступной с любого сайта и браузера.

            0
            safari, в отличии от других браузеров не поддерживает ссылки для приложений

            Это неправда. Пример со стимом и телеграмом, которые используют ссылки steam:// и tg:// соответственно.
              +1

              В оригинальной статье написано:


              According to the Zoom team, the only reason this localhost server continues to exist is that Apple’s Safari doesn’t support URI handlers

              Возможно тут проблема не в том, что поддержки вообще нет, а она кривая — нет кнопки "разрешать всегда". Или поддержки раньше не было.


              Какие-то apple-специфичные причины у разработчиков должны были быть, иначе бы они этот чудо сервер и под другие платформы запилили.

          +9
          Меня одного напрягает то, что Apple может легко запустить на моем компьютере что угодно и скрытно?
            +3

            Сейчас бы удивляться независимой жизни арендованных устройств.
            Install Gentoo или привыкайте.

              0
              Я уже подобрал себе новый ноут на Ubuntu) Пока не купил, но это еще один "+" за данное решение.
              Macbook вроде бы не арендованный, поэтому эту часть не понял) (от iPhone отказался несколько лет назад)
                +3
                Ubuntu тоже устанавливает сервисы для авто-апдейта и все навязчивее пытается ваш компьютер где-то зарегистрировать, создать «канал для помощи» и так далее — как и программы для него. Это только вопрос времени — когда эти апдейты «для вашей же безопасности» станут неотключаемыми и неконтролируемыми. Особенно учитывая разбросанные по разным файлам и пересекающиеся конфигурации сети.
                  0

                  У меня Gentoo, и не думаю, что там когда-либо появятся какие-то неотключаемые апдейты и каналы помощи (кроме канала на IRC).

                    0
                    К счатью, заменить ubuntu на другой linux достаточно просто, ведь денег космонавта не хватает на nih проекты.
                +1
                Не одного. Но выбора не очень. Win 10 ушла недалеко. Остался Linux, который на ноутах не самый энергосберегающий.
                  +2

                  Мой Thinkpad t560, живущий под линуксом больше суток, с вами не согласен.

                  0

                  Работал в продажах.в то время появился глюк на айфонах с выставлением конкретной даты и перезагрузкой телефона.после этого телефон не загружался, пока не сядет или пока не переподключишь батарею.через несколько дней обновление молча прилетело на все устройства.а до этого люди пачками носили трубки

                    0

                    Было бы хуже, если бы пришло пуш-уведомление с описанием проблемы и двумя кнопками "обновить" / "отменить"?

                      0
                      Половина пользователей бы проигнорировала бы это, равно как и 90% других уведомлений, а потом бы бомбила на яблоко
                        0
                        Может быть… но все равно если это включено по умолчанию, то должен задаваться вопрос при первом запуске и должна быть простая возможность выключить/включить такое поведение операционной системы.
                          0
                          Мне кажется, что всё это уже есть в лиц.соглашении, которое конечно же никто не читает, а упрощённая версия согласен/не согласен так же была бы проигнорирована. Плюс, макОсь — еще более закрытая система чем винда, с минимум конфигураций и различий, поэтому если оптимизировать, то для всех и сразу. Всё логично.
                  +10
                  Zoom не пренадлежит Apple… В оригинале все правильно написано, но в этом переводе вместо компании Zoom везде Apple почему-то.
                    +4

                    Ну и кто ещё теперь будет смеяться, увидев заклеенкю изолентой камеру?

                      0

                      Тот, кто разобрал ноутбук и отключил от нее шлейф
                      Или вообще вытащил оттуда за ненадобностью


                      Немного бесполезной информации

                      К примеру, я вебкой в ноуте никогда не пользовался и вытащил ее, чтобы сделать из нее обычную USB вебку
                      В смарте фронталкой пользовался всего два раза за все время, но постоянно задеваемая кнопка отправки видеосообщений в Telegram доставляла больше неудобств, чем теоретическая польза от фронталки. Поэтому сначала какое-то время ходил с закрашенным глазком фронталки, а потом при разборке телефона и вовсе ее вытащил оттуда
                      Хотя за это мне знакомые предлагают скидки на шапочки из фольги, но "слежки" я боюсь меньше всего

                        0

                        А зачем столько танцев, если есть простые шторки? Задвинул — и пусть себе снимает черноту. Надо — отодвинул.

                          0
                          Оно может еще и звук писать ведь.
                            +1
                            Вынимание модуля камеры никак не влияет на возможность записи звука. Ну только если в spyware-приложении не обрабатывается ситуация «не удалось инициализировать камеру».

                            Кстати, в отличие от вебки на ноуте, у которых чаще всего нельзя отключить работу светодиода при работе камеры, считывание данных с микрофона никак не обнаруживается явным образом в системе.
                            –1
                            А зачем столько танцев, если есть простые шторки? Задвинул — и пусть себе снимает черноту.

                            И очередной скандал — «По недосмотру изготовителя шторки оказались односторонне прозрачными, а камера никогда не отключалась и вела трансляцию на %sitename% — проводится сервисная компания с отзывом xxxxxx штук устройств %brandname%».
                            0
                            Ну мне немного лень разбирать экран ноута, поэтому я просто удалил устройство из системы…

                            Но меня больше волнует возможность скрытого обновления, и как следствие установки ПО и тому подобного…
                              –1
                              поэтому я просто удалил устройство из системы…

                              Это конечно же не обязательно работает. В ряде случаев можно взаимодействовать с устройствами без драйверов.

                              возможность скрытого обновления

                              ОС хозяйка вашего устройства. На этом всё.
                              Либо вы доверяете производителю и тогда обновления без спросу — это норм(с точки зрения безопасности), либо не доверяете и тогда использовать ОС просто нельзя.
                                0
                                Можно, но более сложно и маловероятно…
                                ОС хозяйка вашего устройства. На этом всё.

                                Ну так-то да, но меня скорее волновало что говорит пользовательское соглашение об этом…
                                Которое как обычно никто не читает…
                                  0
                                  Я тоже решил проблему таким образом, вы правы иногда после обновления устройства активируются сами по себе. Но портить устройство изолентой я не хочу, плюс это не поможет против прослушивания. Такой метод на мой взгляд самый эффективный, от направленного взлома не спасёт, но от любопытных программ защитит точно.
                                  +1
                                  А микрофон в компьютере, Вы тоже удалили? :)
                                  Или пусть слушают? (если хотят тратить на это своё время и деньги, а вдруг Вы в будущем станете крупным политиком)
                                    0
                                    А смысл им что-то слушать? Я личность молчаливая…
                                    Да и политика это не мое…
                                +8
                                Люди делятся на три типа:
                                1) Те, кто заклеивает камеру изолентой.
                                2) Те, кто смеются над теми, кто заклеивает камеру изолентой.
                                3) Те, кто смеется над теми, кто смеется над теми кто заклеивает камеру изолентой.
                                  0

                                  4) Те кто не знает об этом
                                  5) Тем кому вообще на все по фигу

                                  +1
                                  В последнее время на конференциях*, одним из самых распространенных «ништяков» на стендах является шторка-заглушка для камеры ноутбука.

                                  * которые я посещал.
                                    0
                                    Конференции по безопасности?
                                  0

                                  Клеится согнутый стикер на внешнюю часть крышки, когда надо видео-коференцию, листок отгибается и согнутая часть остается на внешней стороне крышки, закончилась конференция — возвращается на место))

                                  0
                                  Apple и Zoom, видимо, изначально не считали её уязвимостью. Ведь это так удобно: вы можете послать кому-угодно ссылку по почте или в мессенджере (например, zoom.us/j/492468757), получатель нажмёт на неё — и у него на компьютере волшебным образом откроется клиент Zoom. Настоящая магия.


                                  А как работают похожие ссылки, открывающие WhatsApp и Телеграм?
                                    0

                                    там все же нужно чтоб стоял клиент, тут ситуация была в том что клиент мог быть удален, но переход по ссылке скачает его обратно и запустит.

                                      +4

                                      С использованием URL Scheme, обработчики которой зарегистрированы в системе. У Telegram это tg


                                      Скриншот

                                      image


                                      Chrome/Chromium схожим образом показывает диалог подтверждения открытия ссылки в "Telegram Desktop" на Windows и в "xdg-open" в Иксах (Linux).
                                      Далее этот URL в качестве параметра передается приложению, которое решает, что дальше делать.

                                        –2

                                        У нормальных браузеров есть возможность зарегистрировать специальные ссылки для приложения. Но только не safari. Именно из-за этого разработчики zoom и нагородили этот костыль с локальным веб сервером на маках. То, что они решили сервер не удалять при удалении клиента — это "для удобства пользователей".

                                        –2
                                        Решето ©

                                        Only users with full accounts can post comments. Log in, please.