ИБ-специалист Джонатан Ляйтшу обнаружил несколько уязвимостей в программе для видеозвонков Zoom. На компьютерах, работающих под управлением macOS, она устанавливала веб-сервер, который мог автоматически подключать пользователя к видеозвонкам по команде с любого сайта. Злоумышленник также мог отдать Zoom команду для блокировки компьютера. Веб-сервер сохранялся на компьютере даже после удаления Zoom.
Zoom используют десятки миллионов пользователей на различных платформах. Принадлежащее The New York Times издание The Wirecutter называло этот сервис лучшим в категории программ для организации онлайн-встреч для людей, работающих из дома.
Ляйтшу связался с поддержкой Zoom в марте 2019 года, сообщил о найденных уязвимостях и предупредил, что через 90 дней обнародует информацию о них. Компания предложила ему вознаграждение за молчание, но он не согласился и разместил публикацию в блоге Medium.
Веб-сервер, который устанавливается вместе с Zoom, продолжает работать даже после того, как пользователь закроет программу. По словам компании, это сделано для того, чтобы обойти ограничения браузера Safari и избавить пользователя от лишнего клика перед подключением к звонку. Веб-сервер не удаляется с компьютера даже после удаления программы. Он продолжает получать команды — например, при входящем звонке может предложить пользователю заново установить Zoom. Подробного описание сервера нет, поэтому неизвестно, какие ещё команды он умеет выполнять.
Ляйтшу также обнаружил, что Zoom скачивает обновления не из Mac App Store, а с доменов разработчика. У одного из принадлежавших компании доменов 1 мая закончился срок регистрации, и если бы злоумышленники были в курсе этого, они могли подсунуть пользователям Zoom заражённые вирусом программы под видом обновления популярного софта.
Ляйтшу подобрал команду, которая позволяет подключаться к чужим групповым видеозвонкам. При этом от пользователей не потребуется никакого подтверждения: изображение с их веб-камер автоматически передаётся незнакомцу. Программист Мэттью Хоги удостоверился в наличии уязвимости. Он опробовал одну из ссылок и смог подключиться к трём другим случайным людям, которые были удивлены внезапно появившемуся собеседнику.
Разработчики Zoom выпустили обновлённую версию программы для macOS. В ней не используется веб-сервер, а при деинсталляции появляется опция, позволяющая удалить его вместе с программой. Компания Apple тоже приняла меры по обеспечению безопасности пользователей. Новый патч для macOS модифицирует веб-сервер Zoom: теперь входящий вызов не принимается автоматически, пользователь может принять его или отклонить.
iGuides в Telegram — t.me/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru
