视频会议软件Zoom被发现严重安全漏洞 即便卸载也可开启摄像头监视
纳斯达克上市公司知名远程视频会议软件Zoom for Mac 版日前被国外安全研究人员发现存在严重安全漏洞。
攻击者利用此漏洞可以远程开启目标用户的摄像头进行监视,并且即便用户卸载Zoom for Mac 也无济于事。
研究人员乔纳森表示该漏洞早在几个月前就提交给开发商,但开发商迟迟没有修复因此乔纳森决定公开漏洞。
乔纳森表示攻击者利用该漏洞可在未经用户许可的情况下强行将用户连接到视频会议并自动调用摄像头监视。
此外漏洞还可通过反复发起无效呼叫用来对网站发起拒绝服务攻击,用户将无法任意网页除黑客控制的网站。
漏洞公开后已经有网友开始尝试利用这枚漏洞进行验证,结果按漏洞细节很多用户成功发起攻击调用摄像头。
Zoom试图防止攻击者打开摄像头来弥补错误 , 但乔纳森发现即便如此也可以继续强制发起呼叫调用摄像头。
(推特网友与朋友进行的测试)
更让人担心的是研究人员发现即便用户卸载Zoom也并不能解决漏洞 , 攻击者依然可以继续发动攻击监视等。
出现这个问题的原因是Zoom在安装时还会附带个网络服务器,用来接受常规浏览器无法实现的功能和请求。
苹果的Safari浏览器基于安全考虑调用摄像头时会弹出提醒要求用户确认,Zoom就是想直接绕过苹果限制。
因此在所有用户不知情的情况下Zoom将这个网络服务器添加到用户设备中,然后默默在后台监听相关请求。
即便用户卸载Zoom的服务器也不会被自动删除,相反该服务器会继续工作接受潜在的请求包括黑客的请求。
针对安装网络服务器的问题Zoom辩称这是为更好的用户体验,因为可以绕过苹果的限制实现无缝发起会话。
但是Zoom拒绝解释为什么迟迟没有修复漏洞,包括研究人员说明缓解方法无效后仍然没有彻底解决漏洞等。
这个漏洞可能影响高达75万家企业和数百万使用Zoom的用户,很显然这个潜在的安全问题影响非常非常大。
此外Zoom还解释说将在本月下旬发布新版本为用户保存偏好,例如用户可以选择关闭视频并保持这种状态。
简单来说Zoom并不准备解决向用户安装网络服务器的相关问题,只是利用权限让用户选择是否关闭视频等。
但要是用户没有选择关闭视频或者忘记关闭视频,则攻击者仍然可以利用漏洞强制打开摄像头对用户监视等。