Сервис для онлайн конференций Zoom
Z0om набрал популярность по всему миру благодаря ограничительных мер COVID-19. Если нужно быстро решить задачу видео конференция для небольшой группы участников – Zoom решит эту задачу, не бесплатно но тарифы очень демократичные и доступны большинству учебных заведений и коллабораций.
Приложение Zoom имеется для всех популярных платформ и браузеров. Это удобное и быстрое решение.
Но имеются проблемы с безопасностью…
Исследователь безопасности обнаружил уязвимость в софте для проведения телеконференций Zoom. При использовании программы на компьютерах Mac, любой открытый пользователем сайт может активировать камеру на устройстве без запроса разрешения на данное действие. Сделать это можно даже в том случае, если Zoom уже был удален с компьютера.
В чем проблема
Исследователь Джонатан Лейчу (Jonathan Leitschuh) опубликовал детали критической уязвимости CVE-2019-13450.
В комбинации с другой ошибкой безопасности, она может позволить злоумышленникам удаленно шпионить за пользователями компьютеров Mac.
Лейчу сообщил команде Zoom об уязвимости за более чем 90 дней до публикации информации о ней, но закрывающий ошибку патч был выпущен после публикации в блоге исследователя. Таким образом под угрозой находятся все 4 млн пользователей проекта. Zoom – одно из самых популярных облачных приложений для проведения теле- и аудио-конференций, вебинаров и обучающих мероприятий.
Уязвимость заключается в некорректной работе функции click-to-join – она создана для автоматической активации установленного на компьютере клиента Zoom. С ее помощью участники могут мгновенно подключаться к конференции с помощью браузера. Для этого нужно лишь кликнуть на ссылку-приглашение вида zoom.us/j/492468757.
Исследователь обнаружил, что для активации этой функции Zoom запускает на компьютере локальный веб-сервер, работающий на порту 19421, который «небезопасным способом» получает команды через HTTPS GET-параметры, и взаимодействовать с ним может любой сайт, открытый в браузере.
Для эксплуатации ошибки безопасности атакующему нужно создать ссылку-приглашение в Zoom и встроить ее во внешний сайт в виде тега к изображению или через iFrame. Затем нужно убедить жертву зайти на сайт, чтобы получить возможность активировать веб-камеру на ее компьютере Mac.
Помимо подглядывания за жертвой, уязвимость можно использовать для осуществления DoS-атаки на целевой компьютер. Для этого нужно отправить большое количество GET-запросов к локальному веб-серверу.
Как защититься
Простое удаление Zoom не помогает защититься от описанной проблемы. По данным исследователя, функция click-to-join поддерживает команду для автоматической переустановки Zoom без разрешения со стороны пользователя.
По словам Лейчу, специалисты Zoom выпустили патч, который запрещает атакующим активировать видео-камеру на устройстве жертвы. При этом возможность тайно подключать пользователей к онлайн-конференции с помощью зловредных Zoom-ссылок по-прежнему остается.
