Пользователи Mac могут быть объектом слежки через приложение Zoom

Исследователь безопасности Джонатан Лейтшух публично объявил о серьезной уязвимости для приложения видеоконференций Zoom на компьютерах Mac. Он продемонстрировал, что любой веб-сайт может открыть вызов с поддержкой видео на Mac с установленным приложением Zoom и увидеть все, что происходит у вас через веб-камеру. Это стало возможно отчасти потому, что приложение Zoom устанавливает веб-сервер на Mac, который принимает запросы, которые не принимаются обычными браузерами. Фактически, если вы удалите Zoom, этот веб-сервер сохранится и сможет переустановить Zoom без вашего вмешательства. Об этом сообщает Информатор Tech, ссылаясь на The Verge.

This Zoom vulnerability is bananas. I tried one of the proof of concept links and got connected to three other randos also freaking out about it in real time. https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf

— Matt Haughey (@mathowie) 9 июля 2019 г.

Лейтшух подробно рассказывает, как он раскрыл уязвимость Zoom еще в конце марта, дав компании 90 дней на решение проблемы. Согласно отчету Лейтшуха, Zoom, кажется, не сделал достаточно, чтобы решить проблему. Уязвимость была также раскрыта ребятами из Chromium и Mozilla, но, поскольку это не проблема с их браузерами, разработчики решили умолчать. Автоматическое включение камеры - это ужасно, но наличие веб-сервера на ваших компьютерах может открыть более серьезные проблемы для пользователей Mac. Например, в более старой версии Zoom (с момента исправления) можно было осуществить атаку типа «отказ в обслуживании» на компьютерах Mac, постоянно пингуя веб-сервер: «Просто отправляя повторяющиеся запросы GET для неверного номера, приложение Zoom постоянно запрашивает данные от ОС», - пишет Лейтшух. Вы можете самостоятельно «исправить» проблему с камерой, убедившись, что приложение Mac обновлено, а также отключив параметр, позволяющий Zoom включать камеру при присоединении к группе, как показано ниже. Опять же, простое удаление Zoom не решит эту проблему, так как этот веб-сервер сохраняется на вашем Mac. Отключение веб-сервера требует запуска некоторых команд терминала, которые можно найти в нижней части настроек Video. В заявлении для The Verge и других СМИ Zoom говорит, что разработал локальный веб-сервер для того, чтобы сохранить пользователю некоторые функции, после того как Apple изменила свой веб-браузер Safari таким образом, что пользователям Zoom требуется подтвердить запуск приложения каждый раз. Zoom защищает «обходной путь» как "законное решение проблемы плохого взаимодействия с пользователем". Компания заявляет, что настроит приложение, начиная с июля, Zoom сохранит предпочтения пользователей и администраторов в отношении того, будет ли видео включено или нет, когда они впервые присоединятся к вызову. В целом, похоже, что Zoom не планирует кардинально изменить поведение своего приложения на Mac, чтобы избежать попадания в “черный список”, но вместо этого компания будет полагаться на то, что пользователи по умолчанию отключат свои камеры. Ранее мы сообщали о том, какие продукты планирует показать Apple этой осенью. Также мы писали о том, что Apple планирует отказаться от фирменной клавиатуры-бабочки в MacBook. Узнать еще больше актуальных новостей из мира технологий и игр можно в нашем Telegram-канале и на Facebook.