不少家公司靠 Zoom 开视讯会议,打破距离透过网络开会沟通。如今传出 Zoom Mac 程式有零时差漏洞,有高达 400 万只 Webcam 能被远端开启,共 750,000 家 Zoom 的企业用户受到影响。
资安专家 Jonathan Leitschuh 在 Medium 发文警告 CVE-2019–13449 漏洞,指出该漏洞能允许人不断进来视讯会议,进行 DDoS 攻击,更糟的是移除 Mac 程式,由于仍留有 localhost,能够在不知不觉之下,重新安装 Zoom。前者的漏洞已修复,但后者仍然没有。
This Zoom vulnerability is bananas. I tried one of the proof of concept links and got connected to three other randos also freaking out about it in real time. https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf
— Matt Haughey (@mathowie) July 9, 2019
2019 年 3 月 16 日,上述的漏洞被人揭露,现在仍不知道为何简单的传送会议连结给别人,别人打开之后,就可以轻易打开对方镜头,看到别人进行的会议,即便没被受邀。Zoom 花了十天的时间确认该漏洞,并且开始进行修补,后来尽管 Zoom 修好了,但 Leitschuh 仍能轻易找到绕过去的方法。
对于不少人使用的 Zoom 来说,发生这么大的事情,而且揭发后事件难以收拾实在是相当糟糕的事情。Mac 上的 Zoom 使用者,可以在 Zoom 的设定关闭会议中自动开 Webcam 的设定,但要把 localhost 的网页服务关掉,则需要进命令列打指令了。
- Serious Zoom security flaw could let websites hijack Mac cameras
- Zoom defends use of local web server on Macs after security
- Zoom security flaw could let websites turn on your Mac’s webcam without permission
(首图来源:Zoom)
