欢迎光临
我们一直在努力
您的位置:首页>资讯 >

Zoom的Mac应用程序中的一个漏洞可能让攻击者劫持网络摄像头

Mac版会议软件中存在严重的安全漏洞,可能会劫持网络摄像头,但也会使用户容易受到网络钓鱼和DOS攻击。

该缺陷利用了Zoom的点击加入功能。如果用户点击浏览器中的特殊链接,该漏洞可以强制用户在未经他们许可的情况下加入已启用其网络摄像头的会议。

出现安全问题是因为Zoom安装了在Mac上的后台运行的本地Web服务器。但是这个Web服务器的安全性很差,用户访问的任何网站都可以与之交互并对用户的计算机进行更改。令人担忧的是,即使用户卸载了Zoom,Web服务器仍然处于活动状态,可以在用户访问网页时用于重新安装Zoom客户端。

发现并报告此漏洞的安全研究员Jonathan Leitschuh警告说,这可能会用于两种类型的攻击:用户可能会被引诱开启相机会议,以收集网络钓鱼攻击的信息,或用户的机器可以通过向本地服务器发送重复的垃圾请求,成为拒绝服务(DOS)攻击的目标。

传统上,桌面和Web应用程序是沙箱,以防止这种交叉通信。当Zoom意识到安全问题时,它发布了一个快速修复解决方案,该解决方案保存了用户在加入呼叫时是否启用视频的设置,因此用户至少可以默认关闭相机。但是,该修复程序未解决不安全的本地Web服务器的基本问题。

该公司在博客文章中为其决定辩护,称如果不使用网络服务器,用户必须在加入会议之前点击确认他们想要启动Zoom客户端。“本地Web服务器使用户能够在加入每次会议之前避免这种额外的点击。我们认为这是解决不良用户体验问题的合法解决方案,使我们的用户能够进行更快,一键加入的会议。”它还指出,它没有迹象表明该漏洞利用从未被使用过,即使它被使用,用户也会看到他们无意中加入了会议并可能立即离开。

无需点击一个额外按钮的便利性是否值得由不安全的Web服务器创建的巨大安全问题不是一个主题Zoom热衷于辩论。在向Gizmodo发表的声明中,该公司称“一键加入会议”是其“关键产品差异化因素”,并且尚未宣布任何计划解决不安全的Web服务器问题。

免责声明:本网站图片,文字之类版权申明,因为网站可以由注册用户自行上传图片或文字,本网站无法鉴别所上传图片或文字的知识版权,如果侵犯,请及时通知我们,本网站将在第一时间及时删除。