任何一台装有Zoom电话会议应用的Mac电脑现在都可以被监听。是的,这对苹果的安全来说是糟糕的一天,因为恶意网站可以被编码,在你的Mac电脑上远程启动视频会议——攻击甚至可以通过电子邮件发送。
好消息吗?极速承诺会尽快修复。
这个消息,由安全研究员披露乔纳森Leitschuh这表明,即使没有安装Zoom的mac电脑——但一旦安装了Zoom——也很容易受到攻击。不过,好消息是,有解决方案(不过其中一个非常困难),Zoom似乎很快就会解决所有问题。
现在该做什么:
由于Zoom改变了立场,解决方案似乎很简单,就是在Zoom更新到来时接受它。在更新极速的博客帖子关于这个漏洞,该公司表示,在今晚(7月9日)美国东部时间凌晨3点或太平洋标准时间午夜之前发布的补丁将解决问题。用户将被提示更新应用程序,一旦更新完成,“本地网络服务器将在该设备上完全删除。”
据称,这次更新还将改进卸载程序。Zoom的帖子称:“我们在Zoom菜单栏添加了一个新选项,允许用户手动完全卸载Zoom客户端,包括本地网络服务器。”
我们很期待看到乔纳森·莱茨舒和其他安全研究人员是否认为极速的工作彻底而正确。
为了在更新之前保护你的Mac,打开“缩放设置”,点击菜单栏中的“缩放”,然后点击“设置”,打开“视频”部分。然后勾选“加入会议时关闭我的视频”旁边的复选框。
在他的帖子, Leitschuh还分享了在终端中使用的代码。这些说明有点复杂,最适合喜欢它的超级技术用户。这些技巧是为了根除Zoom在Mac上创建的网络服务器。
它是如何工作的
是的,这一切都是可能的,因为Zoom秘密地在mac电脑上安装了一个网络服务器,它可以接收并接受你的网络浏览器无法接收的请求。Leitschuh解释说,他曾试图与Zoom合作,今年3月联系了这家公司,但它的“解决方案不足以充分保护用户”。
此外,正如我之前提到的,即使是那些从mac上卸载了Zoom的用户也很容易受到攻击。Leitschuh解释说,Zoom安装的网络服务器即使在你删除程序后也不会消失,和可以远程触发服务器更新并自动安装最新版本的Zoom。
受害者甚至不需要被骗去打开网页。首先,Vimeo用户“fun jon”发布的视频证据表明,你可以通过电子邮件攻击这个漏洞,而目标甚至不需要打开邮件。他们只需要使用一个下载恶意编码信息的电子邮件客户端应用程序。
与变焦Leitschuh提出后,指控告诉该公司“允许主机选择是否参与者将自动加入视频”是一个“独立的安全漏洞,”该公司不同意,定位决定亲美:“变焦相信给我们的客户有权选择如何放大。”
变焦还发布了一篇博客文章阐述自己的观点它不承认任何过错或不当行为。
想亲眼看看吗?
如果你用过极速,你可以自己看看。只是搜索Leitschuh的博客文章点击短语“zoom_vulnerability_poc/”——因为这是他的概念验证链接,它启动了一个Zoom电话。第一种是纯音频版本;第二个链接在URL中包含“iframe”,以激活视频的方式开始通话。
Zoom的这种弱点简直是疯了。我尝试了其中一个概念验证链接,并与另外三个随机用户进行了连接。https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf2019年7月9日