Jonathan Leitschuh appena segnalato “una vulnerabilità nel client Mac Zoom" che permette "qualsiasi sito web malevolo per attivare la fotocamera senza il vostro permesso". Il problema noto in CVE-2.019-13.450 mette potenzialmente a rischio fino a 750,000 le aziende di tutto il mondo che usano Zoom per condurre giorno per giorno lavorativo, Detto pattino di guida posto in un mezzo.
Il CVE-2.019-13.450 la vulnerabilità è presente anche quando l'utente Mac ha disinstallato il cliente Zoom, rendendo possibile per un utente remoto per attivare webcam del dispositivo. Perché questo modo minaccia? A causa dello zoom è uno dei più noti piattaforme cloud-based per il video, la condivisione audio e dello schermo. La piattaforma è ampiamente adottata dalle imprese in tutto il mondo in quanto consente webinar, corsi online, incontri, formazione, etc.
Tuttavia, il client App Zoom per i computer Mac può permettere agli hacker di eseguire codice arbitrario a distanza. Va notato che questo attacco è possibile se è concatenato con una vulnerabilità separato. Le due vulnerabilità sono le seguenti:
DOS vulnerabilità - Corretto nella versione client 4.4.2 - CVE-2.019-13.449
Rivelazione di un 'informazione (Webcam)- senza patch -CVE-2.019-13.450
Poco detto, il problema è derivante dalla funzione click-to-join che è stato progettato per attivare automaticamente Zoom rendendo così possibile per gli utenti di unirsi rapidamente una riunione video tramite il browser Web. “Questa vulnerabilità sfrutta la incredibilmente semplice funzione di zoom in cui si può semplicemente inviare a chiunque un link incontro (per esempio https://zoom.us/j/492468757) e quando si apre quel link nel browser loro cliente Zoom è magicamente aperto sulla loro macchina locale,”Ha spiegato il ricercatore.
Come indicato, l'unica azione necessaria è di cliccare su un link invito. Quello che il ricercatore ha scoperto è che la caratteristica menzionata ha bisogno di un server web locale sul sistema su porto 19421. La porta riceve i comandi tramite HTTPS GET e qualsiasi sito web nel browser dell'utente può interagire con esso. Questo comportamento è piuttosto insicuro.
Come può CVE-2.019-13.450 essere sfruttati contro gli utenti Mac?
L'unica cosa che l'utente malintenzionato dovrebbe fare è creare un invito link attraverso un account sul sito web di Zoom e incorporarla in un sito web di terze parti come un tag di immagine o attraverso iFrame. Poi l'aggressore avrebbe bisogno di convincere il bersaglio a visitare quel particolare sito web.
Che cosa ha fatto Zoom fare per proteggere i propri utenti? Apparentemente, la società non era efficiente nelle sue azioni, come evidente dalla post di Leitschuh:
Questa vulnerabilità è stata originariamente responsabile divulgato marzo 26, 2019. Questo rapporto iniziale comprendeva una proposto descrizione di uno Zoom ‘quick fix’ avrebbe attuato semplicemente cambiando la loro logica di server. Ci sono voluti Zoom 10 giorni per confermare la vulnerabilità. Il primo incontro reale di come la vulnerabilità sarebbe patch si è verificato il 11 giugno, 2019, solo 18 giorni prima della fine dei 90 giorni di scadenza comunicazione al pubblico. Durante questo incontro, i dettagli della vulnerabilità sono state confermate e la soluzione pianificata di Zoom è stato discusso. Tuttavia, Ero molto facilmente in grado di individuare e descrivere bypass nella loro correzione previsto. A questo punto, Zoom è stato lasciato con 18 giorni per risolvere la vulnerabilità. Il 24 giugno, dopo 90 giorni di attesa, l'ultimo giorno prima della scadenza comunicazione al pubblico, Ho scoperto che Zoom aveva attuato solo la soluzione ‘quick fix’ originariamente suggerito.
Come notato dal ricercatore, la vulnerabilità è sicuramente un difetto zero-day, che non è stato fissato nel periodo di rilevazione di 90 giorni, che è la “standard”. Questo lascia più di 4 milioni di utenti di Zoom su Mac vulnerabili alla grave bug privacy.
Tuttavia, gli utenti possono comunque affrontare il problema se stessi disabilitando la possibilità per Zoom per attivare la webcam quando si entra in un incontro. C'è anche un comando terminale che può essere utilizzato:
# Per soli tuo account locale
defaults write ~ / Library / Preferences / us.zoom.config.plist ZDisableVideo 1
# Per tutti gli utenti sulla macchina
sudo defaults write /Library/Preferences/us.zoom.config.plist ZDisableVideo 1
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: