Šobrīd var izspiegot jebkuru Mac ar telekonferenču lietotni Zoom. Jā, šī ir slikta diena Apple drošībai, jo ļaunprātīgas vietnes var kodēt, lai attālināti sāktu videokonferences zvanu jūsu Mac datorā - un uzbrukumu var nosūtīt pat pa e -pastu.
Šīs ziņas, ko atklājis drošības pētnieks Jonathan Leitschuh, liecina, ka pat Mac, kuriem vairs nav instalēta tālummaiņa, bet kādreiz tā bija, ir neaizsargāti. Tomēr labā ziņa ir tā, ka ir risinājumi (viens tomēr ir nopietni grūts), un šķiet, ka tālummaiņa drīzumā to visu novērsīs.
ko tagad darīt
Labojums, pateicoties tam, ka tālummaiņa maina savu nostāju, šķiet, ir tikpat vienkāršs kā pieņemt tālummaiņas atjauninājumus, tiklīdz tie tiek saņemti. Atjauninot Zoom lielo emuāra ziņu par trūkumu, uzņēmums paziņoja, ka plāksteris, kas nāk šovakar (9. jūlijā) plkst. 3:00 EST/pusnakts PST, atrisinās lietas. Lietotāji tiks aicināti atjaunināt lietotni un ka pēc atjaunināšanas pabeigšanas vietējais tīmekļa serveris tiks pilnībā noņemts no šīs ierīces.
Atjauninājums arī uzlabos atinstalēšanas procedūru. Zoom ziņojumā teikts: "Mēs pievienojam jaunu iespēju tālummaiņas izvēlnei, kas lietotājiem ļaus manuāli un pilnībā atinstalēt Zoom klientu, ieskaitot vietējo tīmekļa serveri."
Mēs ar nepacietību gaidām, vai Džonatans Leitšuhs un citi drošības pētnieki domā, ka Zoom dara rūpīgu un pienācīgu darbu.
Lai aizsargātu savu Mac, atveriet tālummaiņas iestatījumus - izvēlnes joslā noklikšķiniet uz Tālummaiņa, pēc tam uz Iestatījumi - un atveriet sadaļu Video. Pēc tam atzīmējiet izvēles rūtiņu blakus “Izslēgt manu video, pievienojoties sapulcei”.
Savā ierakstā Leitschuh arī kopīgoja kodu izmantošanai terminālī. Šīs instrukcijas kļūst nedaudz sarežģītas un ir vislabāk piemērotas lietotājiem, kuri pārzina tehnoloģiju, un kuri to vēlētos. Šie padomi ir paredzēti, lai izskaustu tīmekļa serveri, ko Zoom izveido Mac datorā.
Kā tas strādā
Jā, tas viss ir iespējams, jo tālummaiņa Mac datoros slepeni instalē tīmekļa serveri, kas saņem un pieņem pieprasījumus, kurus jūsu tīmekļa pārlūkprogrammas nepieņemtu. Leitschuh paskaidroja, ka viņš mēģināja sadarboties ar Zoom, sazinoties ar uzņēmumu pagājušā gada martā, taču tā "risinājumi nebija pietiekami, lai pilnībā aizsargātu savus lietotājus".
Turklāt, kā jau minēju iepriekš, pat tie lietotāji, kuri ir atinstalējuši tālummaiņu no Mac, ir neaizsargāti. Leitschuh paskaidro, ka Zoom instalētais tīmekļa serveris paliek aiz muguras pat pēc programmas noņemšanas un ka serveris var tikt aktivizēts attālināti, lai atjauninātu un automātiski instalētu jaunāko Zoom versiju.
Ak, un upurim pat nevajag maldināt tīmekļa lapas atvēršanu. Pirmkārt, Vimeo lietotājs “fun jon” publicēja video pierādījumus tam, ka jūs varat uzbrukt šim trūkumam pa e -pastu, un mērķim pat nav jāatver ziņojums. Viņiem vienkārši jāizmanto e -pasta klienta lietotne, kas lejupielādē ļaunprātīgi kodētu ziņojumu.
Pēc tam, kad Leitschuh strīdējās ar Zoom, apgalvojot, ka uzņēmumam ir teikts, ka "ļaujot saimniekdatoram izvēlēties, vai dalībnieks automātiski pievienosies video vai ne", tā ir "atsevišķa drošības ievainojamība", uzņēmums nepiekrita, pozicionējot savu lēmumu kā lietotājam draudzīgs: "Zoom uzskata, ka dod mūsu klientiem iespēju izvēlēties, kā viņi vēlas tuvināt. "
Vai vēlaties to redzēt pats?
Ja kādreiz savā datorā esat izmantojis tālummaiņu, varat to redzēt pats.
Meklējiet Leitschuh emuāra ierakstā frāzi "zoom_vulnerability_poc/" - tā ir saite uz viņa koncepcijas pierādījumu, kas uzsāk Zoom zvanu. Pirmais ir tikai audio versija; otrā saite, kuras URL ietver “iframe”, sāk zvanu ar aktīvu video.
Šī tālummaiņas ievainojamība ir banāni. Es izmēģināju vienu no jēdzienu saišu pierādījumiem un izveidoju savienojumu ar trim citiem randiem, kuri arī reāllaikā par to satraucās. https://t.co/w7JKHk8nZypic.twitter.com/arOE6DbQaf - Matt Haughey (@mathowie) 9. -2021. -2022. jūlijs
Šis raksts sākotnēji parādījās Toma ceļvedī.
- macOS Catalina Beta apskats
- Es izmantoju peli ar iPadOS un lūk, kā tas darbojas
- iPadOS beta pārskats