缩放到可以访问Mac网络摄像头的修补漏洞
在Zoom官方博客的一篇文章中宣布,紧急安全补丁将删除该公司用来绕过Safari 12保护机制的本地Web服务器,并允许用户完全卸载该应用程序。
此举是Zoom的一个过程逆转,最近周二表示这两项行动都难以实施。Zoom之前为使用本地主机服务器辩护,以绕过内置的Safari安全协议,转而采用简化的用户体验。
Apple的最新Safari 12要求用户在网站或链接尝试启动外部应用时与对话框进行交互。Zoom以简化的用户体验和一键加入视频会议为荣,开发了一种创建本地主机服务器的解决方法,该服务器不断作为后台进程运行。
正如安全研究人员Jonathan Leitschuh所详述的,恶意网站可以利用本地网络服务器通过简单的启动操作或iframe漏洞触发视频通话,自动激活Mac的网络摄像头并在未经用户同意的情况下连接到会议。除非在软件的设置菜单中勾选“加入会议时关闭我的视频”选项,否则所有Zoom Mac客户端都无法通过Safari,Chrome和Firefox进行攻击。
除了授予可能不需要的网络摄像头访问权限外,即使卸载了Zoom,本地服务器仍保留在主机上,并且无需用户交互即可重新安装客户端应用程序。
Zoom最初表示不会删除服务器功能,但在其首席执行官Eric Yuan 周一与Leitschuh和Zoom社区的各个成员进行“派对聊天”讨论安全问题后,该公司似乎有了改变。通过Zoom进行的那次会议向所有人开放,可以通过安全研究人员原始报告中提供的概念证明链接进行访问。
除了删除本地主机服务器外,Zoom的Tuesday补丁还将包含一个菜单栏选项,可以完全卸载Mac客户端。周二早些时候,该公司表示它没有“简单的方法来帮助用户删除Zoom客户端以及启动我们客户端的Mac上的Zoom本地Web服务器应用程序”,说该过程必须通过终端手动完成。