Безпека понад 4 мільйонів iМас під загрозою через баг у додатку Zoom

Дослідник із безпеки Джонатан Лейтшу (Jonathan Leitschuh) розкрив інформацію про серйозну уразливість в сервісі для організації відеоконференцій Zoom, завдяки якій зловмисники можуть віддалено виконати довільний код на системі.

Проблема пов’язана з однією з функцій в Zoom, яка автоматично активує додаток, дозволяючи учасникам приєднатися до відеоконференції, клікнувши на запрошення в браузері. Як з’ясувалося, для роботи цього функціоналу Zoom встановлює на систему web-сервер (порт 19421), який отримує команди через запити HTTPS GET, при цьому з сервером може взаємодіяти будь-який сайт, відкритий в браузері. Для компрометації зловмисникові потрібно всього лише створити посилання-запрошення в своєму обліковому записі на офіційному сайті Zoom, вбудувати його в сторонній ресурс і переконати користувача відвідати цей ресурс. Якщо власник Мас, на якому встановлено ПЗ Zoom, відвідає шкідливий сайт, додаток примусово запуститься на комп’ютері і активує web-камеру, піддаючи користувача ризику атаки.

Примітно, що деінсталяція Zoom не допоможе вирішити проблему, оскільки web-сервер автоматично перевстановить додаток без участі і дозволу користувача. Крім активації камери, зловмисник може використовувати цю уразливість для виведення Мас з ладу, просто відправивши велику кількість повторюваних GET запитів на локальний сервер.

Дослідник поінформував розробника платформи про проблему, однак через 90 днів компанія Zoom не усунула уразливість. В кінцевому підсумку, зазначив Лейтшу, Zoom частково виправила баг, вимкнувши можливість активації камери, однак проблема, яка давала можливість атакуючому примусово підключити до конференції тих хто відвідав шкідливий сайт як і раніше залишається актуальною.

Ця уразливість зачіпає останню версію Zoom (4.4.4) для macOS. На щастя, користувачі можуть вирішити проблему самостійно, вимкнувши в налаштуваннях Zoom опцію, автоматично активувати камеру при підключенні до відеоконференції.

Zoom – популярна хмарна конференц-платформа, що дозволяє проводити відеоконференції, вебінари, online-навчання або віртуальні зустрічі.

До речі, Google тестує окрему панель управління відтворенням, яка буде вбудована в інтерфейс настільної версії Chrome.

Також більше десяти мільйонів власників смартфонів Samsung встановили шахрайський додаток Updates for Samsung, що видається кіберзлочинцями за оновлення прошивки.

Окрім цього, дослідники з Міжнародного інституту комп’ютерних наук стверджують, що 1325 додатків, доступних для завантаження в Google Play, шпигують за користувачами без їх дозволу.