Bilo koji Mac s Zoom aplikacijom za telekonferencije može se odmah špijunirati. Da, to je loš dan za Appleovu sigurnost, jer se zlonamjerne web stranice mogu kodirati za daljinski početak video konferencijskog poziva na vašem Macu - a napad se čak može poslati i putem e -pošte.
Ova vijest, koju je otkrio sigurnosni istraživač Jonathan Leitschuh, pokazuje da su čak i Mac računari na kojima Zoom više nije instaliran - ali su to već radili - ranjivi. Dobra vijest je, međutim, da postoje rješenja (jedno je ipak teško), a čini se da će Zoom uskoro sve popraviti.
Što učiniti sada
Čini se da je popravak, zahvaljujući tome što je Zoom promijenio svoj stav, jednostavan kao i prihvaćanje ažuriranja Zooma čim stignu. U ažuriranju Zoomovog velikog bloga o nedostatku, tvrtka je navela da će zakrpa koja dolazi večeras (9. srpnja) u ili prije 3 sata ujutro EST/ponoć PST riješiti stvari. Korisnici će biti upitani da ažuriraju aplikaciju i da će, nakon ažuriranja, "lokalni web poslužitelj biti potpuno uklonjen s tog uređaja".
Ažuriranje će također navodno poboljšati postupak deinstalacije. U Zoomovom postu stoji: "Dodajemo novu opciju na traku izbornika Zoom koja će korisnicima omogućiti ručno i potpuno deinstaliranje Zoom klijenta, uključujući lokalni web poslužitelj."
Jedva čekamo vidjeti misle li Jonathan Leitschuh i drugi sigurnosni istraživači da Zoom radi temeljit i pravilan posao.
Da biste zaštitili svoj Mac, otvorite Postavke za zumiranje - kliknite Zumiranje na traci izbornika, a zatim kliknite Postavke - i otvorite odjeljak Video. Zatim označite okvir uz "Isključi moj video pri pridruživanju sastanku".
U svom je postu Leitschuh također podijelio kôd za upotrebu u terminalu. Te upute postaju pomalo komplicirane i najbolje su za supertehnološke korisnike koji bi to više voljeli. Ovi savjeti su napravljeni za iskorjenjivanje web poslužitelja koji Zoom stvara na Macu.
Kako radi
Da, ovo je sve moguće jer Zoom potajno instalira web poslužitelj na Mac računale, onaj koji prima - i prihvaća - zahtjeve koje vaši web preglednici ne bi. Leitschuh je objasnio da je pokušao raditi sa Zoomom, obrativši se tvrtki prošlog ožujka, ali da "njegova rješenja nisu bila dovoljna za potpunu zaštitu njihovih korisnika".
Također, kao što sam ranije spomenuo, čak su i oni korisnici koji su deinstalirali Zoom sa svojih Mac računala ranjivi. Leitschuh objašnjava da web poslužitelj instaliran od strane Zooma ostaje iza čak i nakon što uklonite program te da se poslužitelj može daljinski pokrenuti radi ažuriranja i automatske instalacije najnovije verzije Zooma.
Oh, a žrtvu čak ne treba ni prevariti da otvori web stranicu. Prije svega, korisnik zabave Vimeo 'fun jon' objavio je video dokaz da ovu grešku možete napasti putem e -pošte, a cilj čak ne mora otvoriti poruku. Oni samo trebaju koristiti aplikaciju klijenta e -pošte koja preuzima zlonamjerno kodiranu poruku.
Nakon što se Leitschuh raspravljao sa Zoom-om, tvrdeći da je rekao tvrtki da je "dopuštanje hostu da izabere hoće li se sudionik automatski pridružiti videu" "samostalna sigurnosna ranjivost", tvrtka se nije složila, pozicionirajući svoju odluku kao pro-korisnika: "Zoom vjeruje u davanje mogućnosti našim klijentima da odaberu način na koji žele zumirati. "
Želite li to vidjeti sami?
Ako ste ikada imali Zoom na svom stroju, možete se u to uvjeriti.
Pretražite izraz na Leitschuhovom blogu za izraz "zoom_vulnerability_poc/" - jer to je veza na njegov dokaz koncepta koji pokreće poziv Zoom. Prva je verzija samo za zvuk; druga veza, koja u URL sadrži 'iframe', započinje poziv s aktivnim videozapisom.
Ova Zoom ranjivost su banane. Isprobao sam jedan od dokaza povezivanja koncepta i povezao se s tri druga randa koji su također poludjeli zbog toga u stvarnom vremenu. https://t.co/w7JKHk8nZypic.twitter.com/arOE6DbQaf - Matt Haughey (@mathowie) 9. srpnja 20.20. -2022.
Ovaj se članak izvorno pojavio u Tom's Guide.
- macOS Catalina Beta pregled
- Koristio sam miš s iPadOS -om i evo kako to radi
- Pregled beta verzije iPadOS -a