Zoom应用被曝严重安全漏洞 任何网站可劫持Mac摄像头

7月9日消息，据外媒报道，如果你是数百万Zoom视频会议用户中的一员，并且在Mac上安装了这款应用程序，那么网系统会建议你检查设置，以确保默认情况下禁用摄像头。在设置视频部分，你可以找到“加入会议时关闭视频”的勾选框。

这是因为，研究人员乔纳森·莱特舒赫(Jonathan Leitschuh)按照“零日方法”规则披露了Zoom应用的一个严重安全漏洞，同时建议用户确保在公司发布补丁时更新他们的应用程序。

该漏洞利用Zoom中的架构漏洞进行攻击。在该漏洞中，为改善用户体验而安装的Web服务器会使系统面临恶意攻击，网络摄像头可以激活。本质上，通过强制邀请用户参加Zoom呼叫，以发起拒绝服务攻击(因为打了补丁)，并且可以重新激活卸载的应用程序，所有这些都不需要用户许可。

Zoom解释说，这样做是为了改善零散的用户体验，是对Safari 12进行升级的变通办法，这是“一个针对糟糕用户体验的合法解决方案，使我们的用户能够无缝地一键加入会议，这是我们的关键产品差异化。”

然而，莱特舒赫在他的披露中说：“首先，在我的本地机器上安装运行Web服务器的Zoom应用程序，使用完全没有文档记录的API，对我来说感觉非常粗略。其次，我访问的任何网站都可以与运行在我机器上的这个Web服务器进行交互，这对对于作为安全研究员的我来说，是一个巨大的危险信号。”

莱特舒赫指责Zoom通过使用本地服务器“在背后制定了巨大的目标”，通过一个架构糟糕的技术解决方案让数百万用户陷入遭到网络攻击的危险中，这种解决方案以改善用户体验为借口基本上绕过了用户浏览器的安全保护措施，而这些保障措施显然是有充分理由的。

莱特舒赫在3月份向Zoom披露了这个问题，他说：“利用令人惊讶的、功能简单的Zoom漏洞，你只需向任何人发送会议链接(例如https://zoom.us/j/492468757)，当他们在浏览器中打开该链接时，他们的Zoom客户端在他们的本地机器上就能神奇地打开，这让用户很容易陷入攻击危险之中。”

在披露中，莱特舒赫表示，Zoom推迟了对漏洞的处理，直到90天未披露“宽限期”结束前18天才开始讨论他的发现。然后，在6月24日，“经过90天的等待，也就是公开披露截止日期前的最后一天”，Zoom只是简单地部署了他三个月前向该公司提出的“快速解决方案”。

莱特舒赫说：“最终，Zoom未能快速确认报告的漏洞确实存在，他们也未能及时将问题的解决方案交付给客户。拥有如此庞大的用户群的组织，本应更积极主动地保护其用户免受攻击。”

精通技术的用户可以找到并删除应用程序，但对于我们其余的人，应该改变视频设置并保持应用程序更新。目前还没有迹象表明Zoom会进行重大技术上的改变，以解决这个架构上的弱点，所以改变视频设置并保持它的改变，似乎是避免遭到攻击的最佳方式。

在一份声明中，Zoom确认了这个问题，并承认“如果攻击者能够诱使目标用户点击指向攻击者Zoom会议的Web链接，无论是在电子邮件消息中还是在网络服务器上，目标用户都可能在不知情的情况下加入攻击者的Zoom会议。”

Zoom补充说，其7月份的更新“将应用并保存用户从第一次Zoom会议到未来所有Zoom会议的视频首选项。用户和系统管理员仍然可以配置他们的客户端视频设置，以便在加入会议时关闭视频。此更改将应用于所有客户端平台。”

Zoom表示：“我们非常认真地对待与我们产品相关的所有安全问题，并有一个专门的安全团队。我们承认，我们的网站目前没有为报告安全问题提供明确的信息。在未来几周，Zoom将使用其公共漏洞奖励计划，补充我们现有的私人奖励计划。”

不过，莱特舒赫对此仍持怀疑态度，并建议转而采用“零日策略”，这显然更能确保这类曝光受到关注。(腾讯科技审校/金鹿)