写点什么

Zoom 爆出严重漏洞:任何网站可劫持 Mac 摄像头,祸及 400 万用户

  • 2019-07-10
  • 本文字数:3368 字

    阅读完需:约 11 分钟

Zoom爆出严重漏洞:任何网站可劫持Mac摄像头,祸及400万用户

近年来,数量不断攀升的网络安全漏洞给个人的信息安全带来了巨大挑战。今天,云视频会议服务提供商 Zoom 被爆存在一个严重的“零日漏洞”,该漏洞使任何网站都可以在未经用户允许的情况下“劫持”Mac 用户的网络摄像头,即便卸载也难以彻底摆脱,非常“难缠”。据悉,该漏洞或将威胁使用 Zoom 的 400 万 Mac 用户的隐私与信息安全。

Zoom 安全漏洞或波及 400 万 Mac 用户

近日,一位名叫 Jonathan Leitschuh 的安全研究院员公开披露了 Mac 电脑上的视频会议软件程序 Zoom 存在的一个严重的“零日漏洞”,“零日漏洞”的存在使得任何网站(包括恶意网站在内)能在未经用户允许的情况下强行将用户连接到 Zoom 呼叫,并启用 Mac 的摄像头。此外,该漏洞可以通过反复让用户加入无效呼叫,允许任何网页进入 DOSMac。


Leitschuh 分析称,这个漏洞出现的部分原因可能是 Zoom 应用程序在 Mac 上安装了一个 Web 服务器,从而接受了普通浏览器不会“越界”的请求。用户访问的任何一个网站都可以和在他的 Mac 上运行的 Web 服务器进行交互,这对用户的隐私和信息安全十分不利。


既然如此“坑”,那我卸载不用了总行吧? 不好意思,你把问题想的太简单了,一键卸载根本无法从根上解决这个问题。也许 Zoom 早就猜测到你会这样做,于是早早“埋”了更深的“雷”。即便用户将 Zoom 从 Mac 上卸载,Mac 上仍然存在一个本地 Web 服务器,它可以在未经用户允许的情况下,重新安装 Zoom 客户端,普通用户根本无法直接关闭这个 Web 服务器,而是需要额外运行几行终端命令。对此 Zoom 解释称,localhost 服务器存在的唯一原因是 Apple 的 Safari 不支持 URI 处理程序。


据悉,截至 2015 年,Zoom 在全球已经拥有超 4000 万用户,其中,Mac 占 PC 市场的 10%,粗略估计,目前至少有 400 万的 Zoom 用户使用的是 Mac。最近几年来,Zoom 已经逐渐成长为全球领先的云视频会议服务提供商,Zoom 也逐渐成为现代职场人办公的必备工具。现在,Zoom 存在这个漏洞有可能会给 400 万 Mac 用户带来严重的信息安全威胁。


Zoom 称,Apple 的 Safari 不支持 URI 处理程序,所以公司开发了本地网络服务器(localhostWeb),以方便使用 Mac 的 Zoom 用户。日前,Zoom 在一份声明中回应媒体,“运行本地服务器是解决用户体验不佳的合法解决方案,使我们的用户能够进行无缝的一键加入会议,这是我们的产品主要的差异化特征。”

漏洞早在 3 个月前就已经被发现

其实,早在 3 个月前,Jonathan Leitschuh 就发现了这个漏洞。他发现,Zoom 存在视频通话漏洞,用户可以利用这个漏洞在未经许可的情形下向某人发起呼叫。未来如果找到类似的漏洞,它将允许任何网站在用户的计算机上实现 RCE,这对于使用 Zoom 4.1 或更低版本的用户来说存在重大安全隐患。


在查看 Web 开发人员控制台的记录时,Leitschuh 意外发现,这个 Web 服务器竟还会返回以图像文件的尺寸编码的数据。Leitschuh 猜测,这很可能是 Zoom 出于安全原因故意这样做的,目的是为了绕过跨资源共享(CORS)保护,浏览器明确忽略了在 localhost 上运行的服务器的任何 CORS 策略。


这个漏洞利用了 Zoom 的一个非常简单的功能:用户可以向任何人发送 Zoom 会议链接(例如https://zoom.us/j/xxxx),只要对方在浏览器中打开该链接,他们的 Zoom 客户端就会在本地计算机上自动打开并运行。


此外,Leitschuh 表示,用户可以选择在加入呼叫时启用会议参与者的摄像头。Zoom 的本地 Web 服务器是作为后台进程运行的,用户甚至不需要直接“运行”Zoom 应用程序。如果想要激活摄像头,只需要在网站中使用 iframe 嵌入 Zoom 会议链接,此后任何 Zoom 用户都可以立即与他们的视频进行连接。这是一个潜在的安全漏洞,如果被人嵌入到恶意广告中,或者利用其进行网络钓鱼活动,后果将不堪设想。


考虑到为使用 Zoom 的广大用户负责,发现漏洞后不久,Jonathan Leitschuh 便联系了 Zoom 方面,同时给了对方为期 90 天的公开披露期限。


这期间,Leitschuh 曾数次与 Zoom 沟通漏洞解决方案,不过,Zoom 似乎不太积极,并多次辩称这个漏洞的严重性有限,因为它需要“用户交互”才能利用这些漏洞。直到 90 天公开披露期限结束前的第 18 天,关于如何修补漏洞的讨论会议才第一次召开,这次会议确认了漏洞的详细信息,并讨论了 Zoom 计划的解决方案。


在剩下的短短 18 天里,Zoom 通过快速修复方案,禁用了网页自动打开网络摄像头的功能,终于赶在 90 天公开披露截止日期到来时修复了漏洞。但这次修复其实并不彻底,7 月 7 日,这部分修复又“回退”了,以前的漏洞再次出现,在未经用户允许的情况下,网络摄像头仍然能够被打开。


Leitschuh 批评 Zoom 的解决方案太“敷衍”,他认为官方所做的只是阻止攻击者打开用户的摄像头,但攻击者仍然可以通过在恶意网站插入 Zoom 链接,“强迫”误点链接的用户加入到 Zoom 会议中。

Zoom 用户该如何保护自己?

Leitschuh 强调,Zoom 目前存在的所有漏洞都可以被不法者通过“偷渡式攻击”方法利用,并给用户带来严重威胁,他坚信为了充分保护用户,Zoom 应用程序中的本地 Web 服务器解决方案需要被删除。


既然 Zoom 官方不太”给力“,那普通用户应该做点什么来保护自己的信息安全呢?Leitschuh 为想自己修补这个漏洞的用户提供了以下解决办法:


禁用 Zoom 里面“加入会议时打开网络摄像头”这项功能。



或者,运行下面这条终端命令:


# For just your local accountdefaults write ~/Library/Preferences/us.zoom.config.plist ZDisableVideo 1# For all users on the machinesudo defaults write /Library/Preferences/us.zoom.config.plist ZDisableVideo 1
复制代码


要关闭 Web 服务器,请运行lsof -i :19421以获取进程的 PID,然后执行kill -9 [process number]。然后你就可以删除~/.zoomus 目录以清除 Web 服务器的应用程序文件。


为了防止 Zoom 更新后还原此服务器,你可以在终端中执行以下命令:


rm -rf ~/.zoomustouch ~/.zoomus
复制代码

Zoom 最新回应

7 月 10 日 InfoQ 最新消息,目前 Zoom 已经为解决 Mac 用户的“零日漏洞”紧急推出了修复补丁。在 7 月 9 日凌晨 12 点之前,Zoom 的紧急补丁执行了以下操作:


1.更新 Zoom 客户端后,完全删除本地 Web 服务器 :停止在 Mac 设备上使用本地 Web 服务器。部署修补程序后,将在 Zoom 用户界面(UI)中提示 Mac 用户更新其客户端。更新完成后,将在该设备上完全删除本地 Web 服务器。


2.允许用户手动卸载 Zoom:Zoom 菜单栏中添加了一个新选项,允许用户手动和完全卸载 Zoom 客户端,包括本地 Web 服务器。部署修补程序后,将出现一个新的菜单选项,显示“卸载 Zoom”。单击该按钮,将从用户设备中完全删除 Zoom 以及用户保存的设置。


对于多家媒体报道的安全漏洞问题,Zoom 的首席信息安全官理查德法利向外媒 The Verge回应称,“我们的原始立场是安装此「Web 服务器」以使用户无需进行额外点击即可加入会议,我们认为这是正确的决定,这是我们的一些客户的要求。但我们也承认并尊重其他人的观点,他们不希望在本地计算机上安装额外的流程,因此我们决定删除该组件 。”对于另一个关注度较高的问题“在网页内的 iframe 中包含 Zoom 链接”,理查德法利表示,Zoom 不会阻止该功能,因为太多的大型企业客户在他们的 Zoom 软件实现中使用 iframe。


Zoom 官方还表示将在本月晚些时候推出一项更新,让用户可以保存视频通话首选项,以便在加入新通话时网络摄像头可以保持关闭状态。


7 月 11 日,苹果公司也推出了针对 Zoom 安全漏洞的解决方案,它为 Mac 用户发布了一个静默更新,删除了 Zoom 应用程序中易受攻击的组件。苹果表示,此更新不需要任何用户交互,而是自动部署,更新将提示用户是否要打开应用程序,而不会自动打开。


虽然 Zoom 日前已经用紧急补丁修复了原应用程序的漏洞,但苹果表示,其举动是为了保护新老 Mac 用户免受未记录的 Web 服务器漏洞的困扰,而不会影响或阻碍 Zoom 应用程序本身的功能。


其实,苹果经常向 Mac 推出静默更新,以阻止已知的恶意软件 ,这有点类似于反恶意软件服务 。但苹果很少公开针对已知或受欢迎的应用程序采取行动,该公司认为,它推动静默更新以保护用户免受暴露的 Web 服务器带来的风险。


关于 Zoom 安全漏洞的更多信息详见:


https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5


2019-07-10 08:0013764
用户头像
刘燕 InfoQ高级技术编辑

发布了 1112 篇内容, 共 528.2 次阅读, 收获喜欢 1975 次。

关注

评论 1 条评论

发布
暂无评论
发现更多内容

VMware Fusion Pro for mac(vm虚拟机) v13.5.2版

Mac相关知识分享

积分经济学指南:掌握加密货币激励的新语言

TechubNews

iStat Menus for Mac(系统活动监控器) v6.73 (1230)中文版

Mac相关知识分享

你的数据库真的规范吗?小心这些“潜在风险”!

NineData

DevOps 数据库规范 审计日志 NineData SQL 规范

Docker 安装 KONG 带你玩转 API 网关

左诗右码

Kong 网关

微服务nacos默认开启鉴权JeecgBoot

JEECG低代码

微服务 nacos

Luminar Neo for Mac(AI技术图像编辑软件) 1.17.0版

Mac相关知识分享

JetBrains GoLand For Mac(GO语言集成开发工具环境)v2024.1.4 版

Mac相关知识分享

云原生NPM数据采集和指标计算方法

乘云数字DataBuff

云原生 npm

从 Icelake 到 Iceberg Rust

Databend

平凯星辰黄东旭出席 2024 全球数字经济大会 · 开放原子开源数据库生态论坛

PingCAP

开源 金融行业 #TiDB 开放原子 平凯星辰

紫光闪存京东品牌焕新日来袭!多重福利精彩放送

新消费日报

数业智能亮相AI论坛,共探数字心理健康新领域

心大陆多智能体

智能体 AI大模型 心理健康 数字心理

基于 Groq 和 Cartesia 的高速 AI 语音助手发布;xAI 将自行打造超级计算机丨 RTE 开发者日报

声网

Alfred 5 for Mac(mac应用快速启动器)v5.1.4 (2195)中/英版

Mac相关知识分享

SketchUp Pro 2022 for Mac(草图大师)中英文双语 v22.0.353版

Mac相关知识分享

如何让大模型更聪明

蛙人族

大数据‘’ Data Center

开发全方位的体育赛事直播娱乐平台,吸引更多用户增强用户粘性

软件开发-梦幻运营部

DevSecOps在数字政府建设中的实践研究

EquatorCoco

DevOps 运维 低代码 网络

WebStorm 2023 for Mac(JavaScript开发工具) v2023.3.2中文版

Mac相关知识分享

唐刘:当 SaaS 爱上 TiDB(一)- 行业挑战与 TiDB 的应对之道

PingCAP

数据库 SaaS #TiDB 洞察 资源管控

RPA助力企业财税业务智能化转型:深入探索与实践

不在线第一只蜗牛

Rhinoceros 8 for Mac(犀牛8 mac版) v8.2.23346.13002版

Mac相关知识分享

有了小浣熊,办公数据分析不再愁

穿过生命散发芬芳

社区征文 办公小浣熊

关于ComfyUI的一些Tips

不在线第一只蜗牛

人工智能 AI

使用 Protobuf 实现高效数据交换

左诗右码

protobuf

Final Cut Pro X for Mac(fcpx专业多媒体剪辑软件) v10.4.9特别版

Mac相关知识分享

Apache IoTDB & TsFile 智慧能源应用“上会”啦!

Apache IoTDB

扫描全能王AIGC“黑科技”亮相WAIC,《人民日报》、央视、新华社同时“点赞”

合合技术团队

人工智能 OCR AIGC

华为云助力徐州市城管局荣获数字城市赛道“百景新锐奖”

新消费日报

深入理解 Nginx 与 Kong 的配置与实践

左诗右码

Kong 网关

Zoom爆出严重漏洞:任何网站可劫持Mac摄像头,祸及400万用户_AI&大模型_刘燕_InfoQ精选文章