Вчера експертът по сигурност Джонатан Лайтшух публично разкри сериозна уязвимост на приложението за видеоконференции "Zoom" на "Mac".

Той демонстрира, че всеки уебсайт може да направи повикване с възможност за видео посредством инсталираното приложение "Zoom".

Това е възможно отчасти, защото приложението очевидно инсталира уеб сървър на Mac компютрите, който приема заявки, които обикновените браузъри не биха приели.

Всъщност, дори и да деинсталирате Zoom, този уеб сървър продължава и може да преинсталира "Zoom" без вашата намеса.

Използвайки демонстрацията на Лайтшух, "The Verge" потвърди, че уязвимост наистина има – кликвайки върху интернет линк, ако преди това сте инсталирали приложението Zoom и не сте маркирали определено квадратче в настройките, автоматично ще се присъедините към случаен конферентен разговор с включена камера. Много потребители в Туитър също го потвърдиха.

Лайтшух разясни, че също така е разкрил уязвимостта и на ръководството на "Zoom" още в края на март, давайки на компанията 90 дни за решаване на проблема.

Според него обаче, компанията изглежда не е положила достатъчно усилия, за разрешаването му.

Уязвимостта беше разкрита и на екипите на Chromе и Mozilla, но тъй като това всъщност не е проблем с техните браузъри, то те не могат да направят много по случая.

Включването на камерата е достатъчно лошо, но съществуването на уеб сървър на самия компютър може да създаде дори още по-сериозни проблеми за потребителите на Mac.

Например, в по-старите версии на "Zoom" е било възможно да се осъществи атака чрез постоянно пинговане на уеб сървъра.

Що се отнася до проблема с камерите, можете да го премахнете като се уверите, че приложението е актуално и също така деактивирате опцията посочена по-долу, която позволява на "Zoom" да включи камерата, когато се присъедините към видеоразговор.

Деинсталирането на "Zoom" обаче няма да реши проблема с уеб сървъра, тъй като той продължава да съществува на вашия Mac.

Изключването му изисква изпълнение на някои команди, които могат да бъдат намерени в края на материала от  "Medium" .

Според твърдения на "Zoom" локалният уеб сървър се създава, за да спести на потребителя няколко кликвания, след като "Apple" промени уеб браузъра "Safari" по начин, който изисква от потребителите да потвърдят, че искат да стартирате "Zoom" всеки път.

Zoom защитава "решението на проблема си" като „легитимно решение на лошото потребителско изживяване, което позволява на нашите потребители да се включват в срещи с едно кликване, което е и нашата ключова продуктова диференциация“.

Компанията твърди, че ще промени приложението си по един малък начин – от юли, "Zoom" ще запази предпочитанията на потребителите и администраторите за това дали камерата да бъде включвана или не, когато се присъединят към разговор.

Като цяло изглежда, че "Zoom" не полага достатъчно усилие, за да промени начина, по който приложението ѝ оперира на MacOS, за да предотврати нежелани обаждания и потенциална уязвимост на сигурността, а вместо това ще разчита на потребителите да изключват камерите си по подразбиране.

Източник: The Verge