A Zoom telekonferencia alkalmazással rendelkező Mac -ek jelenleg is kémkedhetnek. Igen, ez egy rossz nap az Apple biztonságának, mivel a rosszindulatú webhelyek kódolva távolról indíthatnak videokonferencia -hívást a Mac gépen - és a támadást akár e -mailben is elküldhetik.
Ez a hír, amelyet Jonathan Leitschuh biztonsági kutató tett közzé, azt mutatja, hogy még azok a Mac -ek is sérülékenyek, amelyekre már nincs telepítve a Zoom, de egyszer már. A jó hír azonban az, hogy vannak megoldások (az egyik azonban nagyon nehéz), és úgy tűnik, hogy a Zoom hamarosan mindent megold.
Mi a teendő most
A javítás, köszönhetően a Zoom álláspontjának megváltoztatásának, olyan egyszerűnek tűnik, mint elfogadni a Zoom frissítéseit, amint megérkeznek. A Zoom nagy blogbejegyzésének frissítésében a hibáról a vállalat kijelentette, hogy ma este (július 9 -én) hajnali 3 órakor vagy azt megelőzően érkezik egy javítás. EST/éjfél PST megoldja a dolgokat. A felhasználók felszólítást kapnak az alkalmazás frissítésére, és hogy a frissítés befejezése után "a helyi webszerver teljesen eltávolításra kerül az adott eszközön".
A frissítés állítólag javítja az eltávolítási eljárást is. Zoom bejegyzésében az áll: "Új opciót adunk a Zoom menüsorhoz, amely lehetővé teszi a felhasználók számára, hogy manuálisan és teljesen eltávolítsák a Zoom klienst, beleértve a helyi webszervert is."
Kíváncsian várjuk, hogy Jonathan Leitschuh és más biztonsági kutatók szerint a Zoom alapos és megfelelő munkát végez -e.
A Mac védelme érdekében nyissa meg a Zoom beállításait - kattintson a Zoom gombra a menüsorban, majd a Beállítások elemre - és nyissa meg a Video részt. Ezután jelölje be a "Videó kikapcsolása értekezlethez való csatlakozáskor" jelölőnégyzetet.
Bejegyzésében Leitschuh megosztotta a Terminálban használható kódot is. Ezek az utasítások kissé bonyolulttá válnak, és a legjobbak a szuper-technikát értő felhasználók számára, akik ezt preferálják. Ezek a tippek a Zoom által a Mac számítógépen létrehozott webszerver felszámolására szolgálnak.
Hogyan működik
Igen, mindez azért lehetséges, mert a Zoom titokban telepít egy webszervert a Mac gépekre, amely fogad és elfogad olyan kéréseket, amelyeket a böngésző nem. Leitschuh elmagyarázta, hogy megpróbált együttműködni a Zoom -szal, tavaly márciusban felvette a kapcsolatot a céggel, de "megoldásai nem voltak elegendőek a felhasználók teljes védelméhez".
Továbbá, ahogy korábban említettem, még azok a felhasználók is sérülékenyek, akik eltávolították a Zoom -ot a Mac -ről. Leitschuh elmagyarázza, hogy a Zoom által telepített webszerver a program eltávolítása után is lemarad, és a szerver távolról is aktiválható a Zoom legújabb verziójának frissítésére és automatikus telepítésére.
Ja, és az áldozatot nem is kell becsapni egy weboldal megnyitásával. Először is, a „fun jon” Vimeo -felhasználó videó bizonyítékokat tett közzé arról, hogy e hibát e -mailben támadhatja meg, és a célpontnak nem is kell megnyitnia az üzenetet. Csak e -mail kliens alkalmazást kell használniuk, amely letölti a rosszindulatúan kódolt üzenetet.
Miután Leitschuh vitatkozott a Zoom-tal, azt állítva, hogy azt mondta a vállalatnak, hogy "lehetővé teszi a házigazda számára, hogy eldöntse, hogy egy résztvevő automatikusan csatlakozik-e a videóhoz" önálló biztonsági rés, "a vállalat nem értett egyet, és felhasználóbarátnak minősítette döntését:" Zoom hisz abban, hogy ügyfeleinknek jogukban áll választani, hogyan szeretnének zoomolni. "
Szeretnéd magad is látni?
Ha valaha is volt Zoom a gépén, ezt saját szemével láthatja.
Keresse meg Leitschuh blogbejegyzésében a "zoom_vulnerability_poc/" kifejezést - mivel ez a hivatkozás a koncepció -bizonyítására, amely Zoom hívást indít. Az első egy hangos változat; a második link, amely az „iframe” -t tartalmazza az URL -ben, aktív videóval kezdeményezi a hívást.
Ez a Zoom biztonsági rés banán. Kipróbáltam a koncepciós linkek egyik bizonyítékát, és három másik randival is kapcsolatban voltam, amelyek szintén valós időben megijedtek. https://t.co/w7JKHk8nZypic.twitter.com/arOE6DbQaf - Matt Haughey (@mathowie) 2022-2023. július 9.
Ez a cikk eredetileg a Tom's Guide -ban jelent meg.
- macOS Catalina Béta áttekintés
- Egy egeret használtam iPadOS -szal, és ez így működik
- iPadOS béta felülvizsgálat