Эксперт по кибербезопасности обнаружил «слабое место» популярного видеосервиса
Исследователь в сфере кибербезопасности Джонатан Лейтшу обнаружил в сервисе для видеоконференций Zoom для macOS уязвимость, позволяющую злоумышленникам получить доступ к веб-камерам пользователей. Об этом сообщает Medium.com.
По словам Лейтшу, причина уязвимости кроется в функции, которая позволяет пользователям присоединяться к видеоконференциям по ссылке. Для этого Zoom устанавливает на устройства веб-сервер, который получает запросы по протоколу HTTPS GET. Отправлять их может любой сайт, открытый в браузере.
Чтобы активировать веб-камеры пользователей, злоумышленникам нужно создать ссылку-приглашение на конференцию и встроить ее в код сайта. Локальный сервер Zoom работает в фоновом режиме, поэтому на компьютерах пользователей, открывающих вредоносный сайт, принудительно запустится приложение видеосервиса с активированной камерой. Также Лейтшу научился подключаться к звонкам, созданным другими пользователями.
Для доказательства уязвимости исследователь встроил вредоносный код в свой сайт. Попадая на сайт, пользователи с установленным клиентом Zoom подключаются к звонку с веб-камерой без разрешения. При отсутствии программы на сайте отображается диалоговое окно с просьбой дать необходимые разрешения, после выдачи которых видеоконференция не запускается.
Лейтшу также заметил, что локальный сервер Zoom работает на компьютере даже после удаления приложения. Он позволяет повторно установить программу при посещении сайта с вредоносным кодом без каких-либо дополнительных подтверждений.
Исследователь сообщил об уязвимости Zoom в марте 2019 года, дав сервису 90 дней на устранение проблемы. По его словам, компания лишь частично исправила проблему — в новом обновлении можно отключить веб-камеру при добавлении к звонкам.
Напомним, Zoom — популярный корпоративный сервис для создания видео- и аудиозвонков через интернет. Бесплатная версия Zoom позволяет создавать групповые конференции длительностью до 40 минут, к которым может присоединиться до 100 человек. Его используют десятки миллионов пользователей — еще в 2015 году их было больше 40 млн.
Источник: Лига