Zoom修复了Mac的网络摄像头漏洞,但安全问题依然存在
Zoom修复了Mac的网络摄像头漏洞,但安全问题依然存在本周桌面聊天应用程序公司因为缓慢移动以解决影响macOS用户的潜在安全漏洞而受到抨击。
Zoom本周发布了一个补丁,用于解决Mac版桌面视频聊天应用程序中的安全漏洞,该漏洞可能让黑客控制用户的网络摄像头。
该漏洞是由安全研究员Jonathan Leitschuh发现的,他在周一的博客文章中发布了有关它的信息。 Leitschuh说,这个缺陷可能会影响750,000家公司和大约400万人使用Zoom。
Zoom表示,任何用户都没有受到影响。但对这个缺陷及其运作方式的担忧引发了对其他类似应用程序是否同样容易受到攻击的疑问。
该漏洞涉及Zoom应用程序中的一项功能,通过一个独特的URL链接即可立即将用户启动到视频会议中,用户只需单击一下即可快速加入视频通话。 (该功能旨在快速无缝地启动应用程序,以获得更好的用户体验。)虽然Zoom让用户可以选择在加入呼叫之前关闭相机 - 用户以后可以在应用程序的设置中关闭相机 - 默认就是打开相机。
Leitschuh认为该特征可用于恶意目的。通过将用户引导到包含嵌入并隐藏在站点代码中的快速加入链接的站点,攻击者可以在未经用户许可的情况下切换摄像头和/或麦克风的过程中启动缩放应用程序。这是可能的,因为Zoom还会在下载桌面应用程序时安装Web服务器。
安装后,即使删除了缩放应用程序,Web服务器仍保留在设备上。
在Leitschuh的帖子发表后,Zoom淡化了对Web服务器的担忧。然而,周二,该公司宣布将发布一个紧急补丁,以从Mac设备中删除Web服务器。
“最初,我们没有看到网络服务器或视频播放对我们的客户构成重大风险,事实上,他们认为这些对我们的无缝加入过程至关重要,”Zoom CISO Richard Farley在博客文章中说。 “但在听到我们的一些用户和安全社区在过去24小时内的强烈抗议时,我们决定对我们的服务进行更新。”
据Techcrunch称,苹果周三还发布了一项“无声”更新,确保在所有Mac设备上删除网络服务器。该更新还有助于保护删除缩放的用户。
企业客户关注
对漏洞的严重性存在不同程度的担忧。根据Buzzfeed新闻,Leitschuh将其严重程度分为8.5分(满分10分);根据自己的评估,缩放评级为3.1的缺陷。
Nemertes Research的副总裁兼服务总监Irwin Lazar表示,该漏洞本身不应成为企业关注的主要原因,因为用户会很快注意到在桌面上启动Zoom应用程序。
“我不认为这是非常重要的,”他说。 “风险是有人点击假装参加会议的链接,然后他们的Zoom客户端启动并将他们连接到会议中。”如果视频默认配置为开启,则会看到用户,直到他们意识到他们有无意中加入了一个会议。 “他们会注意到Zoom客户端激活,他们会立即看到他们已加入会议。
“在最糟糕的情况下,他们在离开会议之前会在相机上停留几秒钟,”拉扎尔说。
Futurum Research的创始合伙人/首席分析师Daniel Newman表示,虽然漏洞本身并不会产生问题,但Zoom对此问题的回应时间更令人担忧。
“有两种方式可以看待这种情况,”纽曼说。 “截至[星期三],基于[星期二]发布的补丁,漏洞并不那么重要。
“然而,对于企业客户而言,重要的是这个问题如何在未经解决的情况下拖延数月,最初的补丁如何能够回滚以重新创建漏洞,现在不得不问这个最新的补丁是否确实是永久的解决方案,“纽曼说。
Leitschuh说,他在4月底公司首次公开募股前几周首次向Zoom报告了这个漏洞,并且最初被告知Zoom的安全工程师“不在办公室。”一个完整的解决方案只在漏洞发生后才到位被公之于众(虽然临时解决方案在本周之前推出)。
“最终,Zoom迅速确认所报告的漏洞确实存在,但他们未能及时解决问题并将其解决,”他表示。 “这个配置文件的组织和拥有如此庞大的用户群应该更加主动地保护用户免受攻击。”
在周三的一份声明中,Zoom首席执行官Eric S Yuan称该公司“错误判断了这一情况
页:
[1]