Vsak Mac z aplikacijo za telekonference Zoom lahko zdaj vohunite. Da, to je slab dan za varnost Apple, saj je mogoče zlonamerna spletna mesta kodirati tako, da na daljavo začnejo videokonferenčni klic na vašem Macu - napad pa je mogoče poslati tudi po e -pošti.
Ta novica, ki jo je razkril varnostni raziskovalec Jonathan Leitschuh, kaže, da so ranljivi tudi računalniki Mac, na katerih Zoom ni več nameščen - nekoč pa. Dobra novica pa je, da obstajajo rešitve (ena je resno težka) in zdi se, da bo Zoom kmalu vse popravil.
Kaj storiti zdaj
Popravek, zahvaljujoč temu, da je Zoom spremenil svojo držo, se zdi tako preprost, kot da sprejme posodobitve Zooma, ko prispejo. V posodobitvi Zoomovega velikega spletnega dnevnika o pomanjkljivosti je družba navedla, da bo nocoj (9. julija) prišel obliž, ki bo rešen. Uporabniki bodo pozvani, da posodobijo aplikacijo in da bo po končani posodobitvi "lokalni spletni strežnik v celoti odstranjen iz te naprave."
Posodobitev naj bi izboljšala tudi postopek odstranitve. Objava Zooma navaja: "V menijsko vrstico Zoom dodamo novo možnost, ki bo uporabnikom omogočila ročno in popolno odstranitev odjemalca Zoom, vključno z lokalnim spletnim strežnikom."
Veselimo se, če Jonathan Leitschuh in drugi varnostni raziskovalci menijo, da Zoom opravlja temeljito in pravilno delo.
Če želite zaščititi svoj Mac, odprite Nastavitve za Zoom - kliknite Zoom v menijski vrstici, nato kliknite Settings - in odprite razdelek Video. Nato potrdite polje zraven »Izklopi moj video pri pridružitvi sestanku«.
V svojem prispevku je Leitschuh delil tudi kodo za uporabo v terminalu. Ta navodila so nekoliko zapletena in so najboljša za supertehnološko podkovane uporabnike, ki bi jim bili ljubši. Ti nasveti so namenjeni izkoreninjenju spletnega strežnika, ki ga Zoom ustvari na Macu.
Kako deluje
Da, vse to je mogoče, ker Zoom na skrivaj namesti spletni strežnik na računalnike Mac, ki sprejema - in sprejema - zahteve, ki jih vaši spletni brskalniki ne bi. Leitschuh je pojasnil, da je poskušal sodelovati z Zoomom, ki se je marca lani obrnil na podjetje, a da njegove "rešitve niso bile dovolj za popolno zaščito njihovih uporabnikov".
Kot sem že omenil, so ranljivi tudi tisti uporabniki, ki so z računalnikov Mac odstranili Zoom. Leitschuh pojasnjuje, da spletni strežnik, ki ga namesti Zoom, ostane tudi po odstranitvi programa in da je strežnik mogoče na daljavo sprožiti za posodobitev in samodejno namestitev najnovejše različice Zooma.
Oh, in žrtve sploh ni treba goljufati, da odpre spletno stran. Najprej je uporabnik Vimea 'fun jon' objavil video dokaz, da lahko to napako napadete po e -pošti, tarči pa sploh ni treba odpreti sporočila. Uporabiti morajo le aplikacijo za e -poštni odjemalec, ki prenese zlonamerno kodirano sporočilo.
Potem ko se je Leitschuh prepiral z Zoomom in trdil, da je družbi dejal, da je "dovoljenje gostitelju, da izbere, ali se bo udeleženec samodejno pridružil videu", "samostojna varnostna ranljivost". verjame, da našim strankam daje možnost izbire načina povečanja. "
Si ga želite ogledati sami?
Če ste kdaj imeli Zoom na svojem računalniku, se lahko o tem prepričate sami.
V Leitschuhovem spletnem dnevniku poiščite frazo "zoom_vulnerability_poc/" - saj je to povezava do njegovega dokaza koncepta, ki sproži klic Zoom. Prva je samo zvočna različica; druga povezava, ki vsebuje "iframe" v URL -ju, začne klic z aktivnim videom.
Ta ranljivost Zooma so banane. Poskusil sem enega od dokazov o konceptualnih povezavah in se povezal s tremi drugimi randi, ki so se o tem pravkar jezili. https://t.co/w7JKHk8nZypic.twitter.com/arOE6DbQaf - Matt Haughey (@mathowie) julij 9,2021-2022
Ta članek je bil prvotno objavljen v Tom's Guide.
- pregled beta za macOS Catalina
- Uporabil sem miško z iPadOS in evo, kako to deluje
- Pregled beta različice iPadOS