7月9日消息���,據(jù)外媒報(bào)道,如果你是數(shù)百萬(wàn)Zoom視頻會(huì)議用戶(hù)中的一員�,并且在Mac上安裝了這款應(yīng)用程序����,那么網(wǎng)系統(tǒng)會(huì)建議你檢查設(shè)置���,以確保默認(rèn)情況下禁用攝像頭���。在設(shè)置視頻部分��,你可以找到“加入會(huì)議時(shí)關(guān)閉視頻”的勾選框��。
這是因?yàn)������,研究人員喬納森·萊特舒赫(Jonathan Leitschuh)按照“零日方法”規(guī)則披露了Zoom應(yīng)用的一個(gè)嚴(yán)重安全漏洞�����,同時(shí)建議用戶(hù)確保在公司發(fā)布補(bǔ)丁時(shí)更新他們的應(yīng)用程序。
該漏洞利用Zoom中的架構(gòu)漏洞進(jìn)行攻擊��。在該漏洞中�,為改善用戶(hù)體驗(yàn)而安裝的Web服務(wù)器會(huì)使系統(tǒng)面臨惡意攻擊,網(wǎng)絡(luò)攝像頭可以激活����。本質(zhì)上�����,通過(guò)強(qiáng)制邀請(qǐng)用戶(hù)參加Zoom呼叫��,以發(fā)起拒絕服務(wù)攻擊(因?yàn)榇蛄搜a(bǔ)丁),并且可以重新激活卸載的應(yīng)用程序�����,所有這些都不需要用戶(hù)許可���。
Zoom解釋說(shuō),這樣做是為了改善零散的用戶(hù)體驗(yàn)�,是對(duì)Safari 12進(jìn)行升級(jí)的變通辦法�����,這是“一個(gè)針對(duì)糟糕用戶(hù)體驗(yàn)的合法解決方案�����,使我們的用戶(hù)能夠無(wú)縫地一鍵加入會(huì)議�,這是我們的關(guān)鍵產(chǎn)品差異化。”
然而�,萊特舒赫在他的披露中說(shuō):“首先���,在我的本地機(jī)器上安裝運(yùn)行Web服務(wù)器的Zoom應(yīng)用程序����,使用完全沒(méi)有文檔記錄的API�����,對(duì)我來(lái)說(shuō)感覺(jué)非常粗略�。其次,我訪問(wèn)的任何網(wǎng)站都可以與運(yùn)行在我機(jī)器上的這個(gè)Web服務(wù)器進(jìn)行交互��,這對(duì)對(duì)于作為安全研究員的我來(lái)說(shuō)����,是一個(gè)巨大的危險(xiǎn)信號(hào)����。”
萊特舒赫指責(zé)Zoom通過(guò)使用本地服務(wù)器“在背后制定了巨大的目標(biāo)”�,通過(guò)一個(gè)架構(gòu)糟糕的技術(shù)解決方案讓數(shù)百萬(wàn)用戶(hù)陷入遭到網(wǎng)絡(luò)攻擊的危險(xiǎn)中�,這種解決方案以改善用戶(hù)體驗(yàn)為借口基本上繞過(guò)了用戶(hù)瀏覽器的安全保護(hù)措施���,而這些保障措施顯然是有充分理由的���。
萊特舒赫在3月份向Zoom披露了這個(gè)問(wèn)題���,他說(shuō):“利用令人驚訝的、功能簡(jiǎn)單的Zoom漏洞�����,你只需向任何人發(fā)送會(huì)議鏈接(例如https://zoom.us/j/492468757),當(dāng)他們?cè)跒g覽器中打開(kāi)該鏈接時(shí)���,他們的Zoom客戶(hù)端在他們的本地機(jī)器上就能神奇地打開(kāi)�,這讓用戶(hù)很容易陷入攻擊危險(xiǎn)之中。”
在披露中�,萊特舒赫表示�����,Zoom推遲了對(duì)漏洞的處理�,直到90天未披露“寬限期”結(jié)束前18天才開(kāi)始討論他的發(fā)現(xiàn)�����。然后���,在6月24日�����,“經(jīng)過(guò)90天的等待�,也就是公開(kāi)披露截止日期前的最后一天”���,Zoom只是簡(jiǎn)單地部署了他三個(gè)月前向該公司提出的“快速解決方案”�����。
萊特舒赫說(shuō):“最終,Zoom未能快速確認(rèn)報(bào)告的漏洞確實(shí)存在����,他們也未能及時(shí)將問(wèn)題的解決方案交付給客戶(hù)���。擁有如此龐大的用戶(hù)群的組織,本應(yīng)更積極主動(dòng)地保護(hù)其用戶(hù)免受攻擊��。”
精通技術(shù)的用戶(hù)可以找到并刪除應(yīng)用程序��,但對(duì)于我們其余的人��,應(yīng)該改變視頻設(shè)置并保持應(yīng)用程序更新���。目前還沒(méi)有跡象表明Zoom會(huì)進(jìn)行重大技術(shù)上的改變�,以解決這個(gè)架構(gòu)上的弱點(diǎn)�,所以改變視頻設(shè)置并保持它的改變,似乎是避免遭到攻擊的最佳方式�����。
在一份聲明中,Zoom確認(rèn)了這個(gè)問(wèn)題��,并承認(rèn)“如果攻擊者能夠誘使目標(biāo)用戶(hù)點(diǎn)擊指向攻擊者Zoom會(huì)議的Web鏈接��,無(wú)論是在電子郵件消息中還是在網(wǎng)絡(luò)服務(wù)器上,目標(biāo)用戶(hù)都可能在不知情的情況下加入攻擊者的Zoom會(huì)議��。”
Zoom補(bǔ)充說(shuō)�,其7月份的更新“將應(yīng)用并保存用戶(hù)從第一次Zoom會(huì)議到未來(lái)所有Zoom會(huì)議的視頻首選項(xiàng)��。用戶(hù)和系統(tǒng)管理員仍然可以配置他們的客戶(hù)端視頻設(shè)置��,以便在加入會(huì)議時(shí)關(guān)閉視頻���。此更改將應(yīng)用于所有客戶(hù)端平臺(tái)。”
Zoom表示:“我們非常認(rèn)真地對(duì)待與我們產(chǎn)品相關(guān)的所有安全問(wèn)題�,并有一個(gè)專(zhuān)門(mén)的安全團(tuán)隊(duì)���。我們承認(rèn)���,我們的網(wǎng)站目前沒(méi)有為報(bào)告安全問(wèn)題提供明確的信息。在未來(lái)幾周���,Zoom將使用其公共漏洞獎(jiǎng)勵(lì)計(jì)劃�,補(bǔ)充我們現(xiàn)有的私人獎(jiǎng)勵(lì)計(jì)劃����。”
不過(guò),萊特舒赫對(duì)此仍持懷疑態(tài)度����,并建議轉(zhuǎn)而采用“零日策略”��,這顯然更能確保這類(lèi)曝光受到關(guān)注��。(騰訊科技審校/金鹿)
鄂公網(wǎng)安備 42112402000149號(hào)