Zoom в срочном порядке выпустил обновление, устраняющее уязвимость веб-камер Mac

Zoom выпустил экстренное обновление, чтобы устранить уязвимость для пользователей Mac, которые потенциально могут предоставить злоумышленнику прямую трансляцию со своей веб-камеры, запустив видеочат Zoom, который пользователи никогда не собирались запускать. Этот шаг является неожиданным изменением предыдущей позиции Zoom, когда компания воспринимала уязвимость как «низкий риск» и защищала свое использование локального веб-сервера, который случайно подвергал пользователей Zoom потенциальным атакам. Об этом сообщает Информатор Tech, ссылаясь на Twitter компании. Это исправление, подробно описанное в последнем обновлении сообщения об уязвимости в блоге Zoom, теперь «полностью удалит локальный веб-сервер после обновления клиента Zoom», чтобы убрать злонамеренную стороннюю функцию автоматической активации веб-камер с помощью ссылки Zoom. Уязвимость возникает из-за того, что Zoom устанавливает локальный веб-сервер на компьютеры Mac, на которых установлено его приложение, что позволяет платформе обходить меры безопасности в Safari 12, которые предлагают пользователям диалоговое окно для подтверждения присоединения к новой группе.

[Update], The July 9 patch to the Zoom app on Mac devices detailed earlier on our blog is now live. Details on the various fixes contained within it are explained, as well as how to update the Zoom software. See blog post here: https://t.co/56yDgoZf1U

— Zoom (@zoom_us) 9 июля 2019 г.

Директор по информационной безопасности Zoom Ричард Фарли объяснил, что установленный им веб-сервер «был урезан до полной функциональности» и был защищен, но компания решила удалить его. Дальнейшее беспокойство вызывает возможность включения ссылок Zoom в iframes внутри веб-страниц - Фарли говорит, что Zoom не будет блокировать этот функционал, потому что слишком многие из его крупных корпоративных клиентов фактически используют iframes в своей реализации программного обеспечения Zoom. Zoom говорит, что он использовал локальный веб-сервер, чтобы сделать свой сервис быстрее и проще в использовании - другими словами, сэкономив вам несколько щелчков мышью. Но сервер также создает редкую, но существующую возможность, что вредоносный веб-сайт может активировать вашу веб-камеру с помощью iframe, обходя встроенные средства защиты Safari. В исправленной версии Zoom эту же уязвимость также можно было использовать для проведения атак типа «отказ в обслуживании» на кого-то через постоянные проверки связи с этим локальным веб-сервером. Вот текст обновления и инструкции Zoom о том, как установить его и/или полностью удалить веб-сервер:

1. "Полностью удалите локальный веб-сервер после обновления клиента Zoom. Мы прекращаем использование локального веб-сервера на устройствах Mac. После развертывания исправления пользователям Mac будет предложено в пользовательском интерфейсе Zoom обновить клиент. После завершения обновления локальный веб-сервер будет полностью удален на этом устройстве.
2. Разрешить пользователям вручную удалять Zoom - мы добавляем новый параметр в строку меню Zoom, который позволит пользователям вручную и полностью удалить клиент Zoom, включая локальный веб-сервер. Как только патч будет развернут, появится новый пункт меню с надписью «Удалить Zoom». При нажатии этой кнопки Zoom будет полностью удален с устройства пользователя вместе с сохраненными настройками".

Также Zoom заявил, что выпустит обновление в конце этого месяца, которое позволит пользователям сохранять настройки видеовызовов, чтобы веб-камеры могли отключаться при присоединении к новому вызову. Это не было достаточным исправлением для некоторых критиков, так как Zoom по-прежнему эффективно обходил безопасность Apple, так что он мог запускать вызовы Zoom сразу и без подтверждения от пользователя. Первоначально Zoom защищал веб-сервер как «законное решение проблемы плохого взаимодействия с пользователем, позволяя им проводить более быстрые собрания одним щелчком мыши», так написал Фарли в оригинальной версии блога компании.

I think this Zoom story is getting a bit overhyped, but the fact is that Apple added a security feature that required an extra click by the user, and @zoom_us responded by... installing a local web server to bypass the feature. Talk about a disproportionate response.

— Jason Snell (@jsnell) 9 июля 2019 г.

Ресурс Leitschuh первоначально сообщил Zoom о проблеме еще в марте, и он дал Zoom 90 дней, чтобы ответить. «В конечном итоге было решено не менять функциональность приложения», - написал Фарли. Он также утверждает, что относительный риск для безопасности уязвимостей, который вчера обнаружил исследователь безопасности Джонатан Лейтшух не был таким серьезным, как Лейтшух его приподнес. Он также утверждал, что Zoom действовал быстро во время первоначального раскрытия, чтобы решить проблемы безопасности, которые, по его мнению, были потенциальными возможностями для проведения DDoS-атаки. Ранее мы сообщали о том, какие продукты планирует показать Apple этой осенью. Также мы писали о том, что Apple планирует отказаться от фирменной клавиатуры-бабочки в MacBook. Узнать еще больше актуальных новостей из мира технологий и игр можно в нашем Telegram-канале и на Facebook.