Jonathan Leitschuh gewoon gerapporteerd “een kwetsbaarheid in de Mac Zoom Client" dat staat toe "schadelijke website om uw camera in te schakelen zonder uw toestemming". De kwestie onder bekende CVE-2019-13.450 potentieel in gevaar brengt tot 750,000 bedrijven over de hele wereld die zoomfunctie te voeren day-to-day business, De kolom geleidingsschoen in een medium.
Het CVE-2019-13.450 kwetsbaarheid is aanwezig, zelfs wanneer de Mac-gebruiker de Zoom cliënt heeft verwijderd, waardoor het mogelijk wordt een externe aanvaller webcam het apparaat te activeren. Waarom is dit zo bedreigend? Omdat Zoom is een van de meest bekende cloud-gebaseerde platforms voor video, audio en delen van het scherm. Het platform wordt op grote schaal door de ondernemingen aangenomen over de hele wereld als het in staat stelt webinars, online cursussen, vergaderingen, opleiding, etc.
Echter, de Zoom client-app voor Mac-computers kan toestaan aanvallers op afstand willekeurige code uit te voeren. Opgemerkt wordt dat deze aanval mogelijk als het geschakeld met een aparte kwetsbaarheid. De twee kwetsbaarheden zijn de volgende:
DOS Vulnerability - Vast in Client versie 4.4.2 - CVE-2019-13.449
Vrijgeven van informatie (webcam)- Ongepatchte -CVE-2019-13.450
Kort gezegd, het probleem is als gevolg van de click-to-join functie die is ontworpen om automatisch te activeren Zoom waardoor het mogelijk voor gebruikers om snel deelnemen aan een videovergadering met behulp van hun webbrowser. “Deze kwetsbaarheid maakt gebruik van de verbluffend eenvoudig Zoom functie waar je gewoon iedereen kan sturen een vergadering koppeling (bijvoorbeeld https://zoom.us/j/492468757) en wanneer ze die link te openen in hun browser hun Zoom cliënt wordt op magische wijze geopend op hun lokale machine,”Onderzoeker uitgelegd.
Zoals vermeld, de enige benodigde actie is om te klikken op een uitnodiging koppeling. Wat de onderzoeker ontdekte dat de genoemde functie moet een lokale webserver op het systeem op port 19421. De haven ontvangt commando's via HTTPS GET en een website in de browser van de gebruiker kan met het communiceren. Dit gedrag is nogal onzeker.
Hoe kan CVE-2019-13.450 worden benut tegen Mac-gebruikers?
Het enige wat een aanvaller zou moeten doen is het creëren van een uitnodiging koppeling door middel van een account op de website van Zoom en insluiten op een website van derden als een afbeelding tag of via iFrame. Dan is de aanvaller moet het doel ervan te overtuigen dat bepaalde website te bezoeken.
Wat deed Zoom doen om de gebruikers te beveiligen? Blijkbaar, het bedrijf was niet efficiënt in haar acties, zoals blijkt uit Leitschuh's post:
Deze kwetsbaarheid werd oorspronkelijk op verantwoorde wijze onthuld op maart 26, 2019. Het eerste rapport bevatte een voorgestelde beschrijving van een ‘quick fix’ Zoom kon hebben geïmplementeerd door simpelweg het veranderen van hun server logica. Het duurde Zoom 10 dagen om de kwetsbaarheid te bevestigen. De eerste echte bijeenkomst over hoe de kwetsbaarheid zou worden gepatcht plaatsgevonden op 11 juni, 2019, alleen 18 dagen voor het einde van de 90-dagen openbaarmaking deadline. Tijdens deze bijeenkomst, de details van de kwetsbaarheid werden bevestigd en Zoom geplande oplossing werd besproken. Echter, Ik was erg gemakkelijk in staat te herkennen en te beschrijven bypasses in hun geplande fix. Op dit punt, Zoom bleef achter met 18 dagen om de kwetsbaarheid op te lossen. Op 24 juni na 90 dagen van wachten, de laatste dag voor het publiek deadline openbaarmaking, Ik ontdekte dat Zoom alleen de ‘quick fix’ oplossing oorspronkelijk voorgesteld had uitgevoerd.
Zoals opgemerkt door de onderzoeker, de kwetsbaarheid is zeker een zero-day lek, die niet kon worden vastgesteld in de 90 dagen periode openbaarmaking, dat is de “industrie standaard”. Dit laat meer dan 4 miljoen gebruikers van Zoom op de Mac kwetsbaar zijn voor de ernstige privacy bug.
Echter, gebruikers kunnen nog steeds de kwestie zelf door het uitschakelen van de mogelijkheid voor de Zoom aan te zetten de webcam bij de toetreding tot een vergadering. Er is ook een terminal commando dat kan worden gebruikt:
# Voor slechts uw lokale account
defaults write ~ / Library / Preferences / us.zoom.config.plist ZDisableVideo 1
# Voor alle gebruikers op de machine
sudo defaults write /Library/Preferences/us.zoom.config.plist ZDisableVideo 1