Специалист по кибербезопасности нашел в сервисе Zoom уязвимость - она позволяла удаленно включать веб-камеры на macOS

Исследователь предупредил компанию несколько месяцев назад, но она пообещала исправить проблему только после того, как он рассказал о ней публично.

Исследователь в сфере кибербезопасности Джонатан Лейтшу обнаружил в сервисе для видеоконференций Zoom для macOS уязвимость, позволяющую злоумышленникам получить доступ к веб-камерам пользователей.

По словам Лейтшу, причина уязвимости кроется в функции, которая позволяет пользователям присоединяться к видеоконференциям по ссылке. Для этого Zoom устанавливает на устройства веб-сервер, который получает запросы по протоколу HTTPS GET. Отправлять их может любой сайт, открытый в браузере.

Чтобы активировать веб-камеры пользователей, злоумышленникам нужно создать ссылку-приглашение на конференцию и встроить ее в код сайта. Локальный сервер Zoom работает в фоновом режиме, поэтому на компьютерах пользователей, открывающих вредоносный сайт, принудительно запустится приложение видеосервиса с активированной камерой. Также Лейтшу научился подключаться к звонкам, созданным другими пользователями.

Для доказательства уязвимости исследователь встроил вредоносный код в свой сайт. Попадая на сайт, пользователи с установленным клиентом Zoom подключаются к звонку с веб-камерой без разрешения. При отсутствии программы на сайте отображается диалоговое окно с просьбой дать необходимые разрешения, после выдачи которых видеоконференция не запускается.

Лейтшу также заметил, что локальный сервер Zoom работает на компьютере даже после удаления приложения. Он позволяет повторно установить программу при посещении сайта с вредоносным кодом без каких-либо дополнительных подтверждений.

Исследователь сообщил об уязвимости Zoom в марте 2019 года, дав сервису 90 дней на устранение проблемы. По его словам, компания лишь частично исправила проблему: в новом обновлении можно отключить веб-камеру при добавлении к звонкам.

Настройка, позволяющая автоматически выключать веб-камеру при подключении к конференции

Представители сервиса заявили, что используют сервер для экономии кликов пользователей. Они назвали присоединение к звонкам «в один клик» своей «отличительной особенностью». Zoom пообещала, что в одном из следующих обновлений при первом звонке сервис будет спрашивать пользователей о настройках видео и аудио для будущих звонков.

На фоне обнаружения уязвимости акции Zoom упали на 1,1% до $89,75.