Уязвимость софта для телеконференций Zoom позволяет любым сайтам шпионить за пользователями через веб-камеру



    Изображение: Medium.com

    Исследователь безопасности обнаружил уязвимость в софте для проведения телеконференций Zoom. При использовании программы на компьютерах Mac, любой открытый пользователем сайт может активировать камеру на устройстве без запроса разрешения на данное действие. Сделать это можно даже в том случае, если Zoom уже был удален с компьютера.

    В чем проблема


    Исследователь Джонатан Лейчу (Jonathan Leitschuh) опубликовал детали критической уязвимости CVE-2019-13450. В комбинации с другой ошибкой безопасности, она может позволить злоумышленникам удаленно шпионить за пользователями компьютеров Mac.

    Лейчу сообщил команде Zoom об уязвимости за более чем 90 дней до публикации информации о ней, но закрывающий ошибку патч был выпущен после публикации в блоге исследователя. Таким образом под угрозой находятся все 4 млн пользователей проекта. Zoom – одно из самых популярных облачных приложений для проведения теле- и аудио-конференций, вебинаров и обучающих мероприятий.

    Уязвимость заключается в некорректной работе функции click-to-join – она создана для автоматической активации установленного на компьютере клиента Zoom. С ее помощью участники могут мгновенно подключаться к конференции с помощью браузера. Для этого нужно лишь кликнуть на ссылку-приглашение вида zoom.us/j/492468757.

    Исследователь обнаружил, что для активации этой функции Zoom запускает на компьютере локальный веб-сервер, работающий на порту 19421, который «небезопасным способом» получает команды через HTTPS GET-параметры, и взаимодействовать с ним может любой сайт, открытый в браузере.

    Для эксплуатации ошибки безопасности атакующему нужно создать ссылку-приглашение в Zoom и встроить ее во внешний сайт в виде тега к изображеию или через iFrame. Затем нужно убедить жертву зайти на сайт, чтобы получить возможность активировать веб-камеру на ее компьютере Mac.

    Помимо подглядывания за жертвой, уязвимость можно использовать для осуществления DoS-атаки на целевой компьютер. Для этого нужно отправить большое количество GET-запросов к локальному веб-серверу.

    Как защититься


    Простое удаление Zoom не помогает защититься от описанной проблемы. По данным исследователя, функция click-to-join поддерживает команду для автоматической переустановки Zoom без разрешения со стороны пользователя.

    По словам Лейчу, специалисты Zoom выпустили патч, который запрещает атакующим активировать видео-камеру на устройстве жертвы. При этом возможность тайно подключать пользователей к онлайн-конференции с помощью зловредных Zoom-ссылок по-прежнему остается.

    Сегодня многие сервисы работают на основе алгоритмов анализа данных. Как показывает практика, риски скрываются не только в уязвимой функциональности, но и в самих данных, на основе которых система принимает решения.

    Вместе с появлением новых алгоритмов машинного обучения расширилась и область их применения. Уже несколько лет машинное обучение в сфере информационной безопасности используется не только для обнаружения атак, но и для их проведения.

    Исследователи активно изучают вредоносное машинное обучение (adversarial attack). Однако в попытке обогнать злоумышленников и предсказать их следующий шаг они забывают о возможностях, которыми атакующие пользуются сейчас: кража модели, уязвимости во фреймворке, подмена данных для обучения, логические уязвимости.

    В четверг, 11 июля в 14:00 эксперты Positive Technologies Арсений Реутов и Александра Мурзина проведут вебинар на тему «Риски безопасности применения техник искусственного интеллекта». Речь пойдет о рисках применения техник машинного обучения в современных приложениях.

    Участие в вебинаре бесплатное, необходима регистрация.
    • +14
    • 5,4k
    • 6
    Positive Technologies
    167,97
    Компания
    Поделиться публикацией

    Комментарии 6

      +1
      Процесс, висящий в памяти, называется ZoomOpener. В консоли (Terminal) можно найти командой
      ps -ef | grep -i zoom
      и
      lsof -i +c 0 | grep -i zoom
      . Вычищается так и так. Вообще, без нужды не стоит сидеть под админским (с `sudo` автоматом) пользователем в OSX, тогда излишне умные программы не будут ставиться куда попало.
        +2
        Странный заголовок у статьи, из него понятно, следить можно за всеми пользователями, то есть всех не важно Mac, Windows, Linux. А в самой статье написано что только Mac. Опытные и ответственные пользователи заклеивают камеры, пользуются Firefox с плагинами безопасности, проверяют какие разрешения есть у того или иного приложения, а не опытных и беспечных нечего не спасет, они и так в постоянной зоне риска, так как сами же и являются уязвимостью безопасности.
          0
          Достаточно неточный перевод оригинальной стать с перегибом «на испугать» потенциальную аудиторию. Команду «для поиска портов» — лучше использовать «lsof -i -n -P | grep oom». Именно «oom», так как компонент называется «ZoomOpene» и не «отГрепается» с маленькой буквы…
          А так -типичный хайп…
          У меня на резервном ноуте стоит «старая версия Zoom» и можно предложить «батл», где специалисты из РТ попробуют воспроизвести все то, что тут написано. И — да, я лицо заинтересованное и в правде и в продажах Zoom.
            0
            Мы вынесли важный момент из «происходящего в сети»…
            Если пишется статья с заголовком «Мы все умрем!», а под ней идет лонг-рид… То лонг-рид никто не читает, а просто «запоминает заголовок»… На выходе, те пара «медиков», которая прочла всю статью пожимает плечами, типа — да… так бывает, а большая толпа неискушенных читателей бегут по рынку с утверждением, что «Завтра война!» и «Метеорит летит на землю!».
            Эта вся история хорошо описана в одной из серий «Смешариков» вот тут можно глянуть: www.youtube.com/watch?v=jWwvuKaFsJc
            Сама проблема высосана из пальца…
            Если сухо, то «это костыль для обхода особенностей работы Safari».
            Если глянуть «на индустрию», то увидите, что с этим костылем работает не только Zoom, ту же схему используют многие…
              0
              Заголовок в духе российских СМИ, ведь в оригинале куда понятнее «Zoom Zero Day». Да и объяснение с исправлениями уже предоставили.
                0
                Вся жизнь – театр, мать его!…
                Дым развеялся, волна спала… И обнаружился интересный момент…
                Что-то мне кажется, что вся эта история с уязвимостью Zoom, была хорошим PR ходом от самого Zoom.
                Сами подумайте, на фоне того, как все истории пестрят заголовками про утечку персональных данных в громадных количествах от серьезных компаний, нарушений целостности сетей, скандалами «другого порядка». Имена называть не буду – google it! И тут всплывает «дырка в Zoom», опубликованная в «бложике» чела, которого ни кто не знает.
                И о чудо!
                Резонанс!
                Все новости отчитались в стиле «Метеорит летит на землю!», «Мы все умрем!», «Мы больше не увидим солнце!»…
                Конкурирующие компании «зарядили менеджеров по продажам – обязательно упоминать про это в разговорах с клиентами, а также глумиться над трупом Zoom»…
                Маркетинг «конкурентов» заряжается на то, что тему нужно крутить в обязательном порядке… И даже пусть нам это стоит денег!
                И тут о чудо – спасение!
                «Бага» оказывается «не багой», а темой «высосанной из пальца»…
                Общий антураж и оперативная реакция с починкой всего и вся…
                Обращение CEO к пользователям и прочие PR штучки…
                «Бага» починена за пару часов и общий «Happy end!»
                Общий остаток – про Zoom не написал только ленивый.
                Расходы на PR со стороны Zoom можно считать нулевой суммой, а про Zoom говорят все, особенно «в курилках».
                Шах и мат в 2 хода…

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое