Эксперт по кибербезопасности обнаружил “слабое место” популярного видеосервиса

Исследователь в сфере кибербезопасности Джонатан Лейтшу обнаружил в сервисе для видеоконференций Zoom для macOS уязвимость, позволяющую злоумышленникам получить доступ к веб-камерам пользователей. Об этом сообщает Medium.com.

По словам Лейтшу, причина уязвимости кроется в функции, которая позволяет пользователям присоединяться к видеоконференциям по ссылке. Для этого Zoom устанавливает на устройства веб-сервер, который получает запросы по протоколу HTTPS GET. Отправлять их может любой сайт, открытый в браузере.

Чтобы активировать веб-камеры пользователей, злоумышленникам нужно создать ссылку-приглашение на конференцию и встроить ее в код сайта. Локальный сервер Zoom работает в фоновом режиме, поэтому на компьютерах пользователей, открывающих вредоносный сайт, принудительно запустится приложение видеосервиса с активированной камерой. Также Лейтшу научился подключаться к звонкам, созданным другими пользователями.

Для доказательства уязвимости исследователь встроил вредоносный код в свой сайт. Попадая на сайт, пользователи с установленным клиентом Zoom подключаются к звонку с веб-камерой без разрешения. При отсутствии программы на сайте отображается диалоговое окно с просьбой дать необходимые разрешения, после выдачи которых видеоконференция не запускается.

Читайте также:  Стало известно, когда могут представить смартфон с камерой 108-Мп

Лейтшу также заметил, что локальный сервер Zoom работает на компьютере даже после удаления приложения. Он позволяет повторно установить программу при посещении сайта с вредоносным кодом без каких-либо дополнительных подтверждений.

Исследователь сообщил об уязвимости Zoom в марте 2019 года, дав сервису 90 дней на устранение проблемы. По его словам, компания лишь частично исправила проблему – в новом обновлении можно отключить веб-камеру при добавлении к звонкам.

Напомним, Zoom – популярный корпоративный сервис для создания видео- и аудиозвонков через интернет. Бесплатная версия Zoom позволяет создавать групповые конференции длительностью до 40 минут, к которым может присоединиться до 100 человек. Его используют десятки миллионов пользователей – еще в 2015 году их было больше 40 млн. 

Источник: Лига

  • 1
  •  
  •  
  •  
  •  
  •