Sent i går kväll rapporterades det att en stor sårbarhet inom Zoom Mac-appen hade upptäckts, vilket i princip gjorde det möjligt för vissa webbplatser att kapa en dators webbkamera.
Nolldagars sårbarheten upptäcktes av säkerhetsforskaren Jonathan Leitschuh, som han initialt hade rapporterat till Zoom tillbaka i mars. Leitschuh publicerade nyligen detaljerna om sårbarheten för sitt Medium-konto, med information om hur det fungerar och hur farligt det kan vara för Zoom-användare.
Det allmänna värdet är detta: När du installerar videokonferens-appen Zoom på din Mac installerar den också en webbserver direkt på din dator. Detta "faktiskt accepterar begäran som vanliga webbläsare inte skulle göra", enligt en rapport från Gränsen. Den webbservern körs som en bakgrundsprocess, vilket gör det möjligt att "medföra en användare med ett Zoom-samtal, med deras videokamera aktiverad, utan användarens tillstånd".
I det ursprungliga Medium-inlägget finns länkar för att testa sårbarheten. Om du gör det kommer användaren att gå med i ett konferenssamtal, med kameran redan aktiverad, utan att användaren direkt accepterar sådant.
Vad värre är, på grund av att webbservern är installerad direkt på datorn, även om Zoom-applikationen avinstalleras förblir den närvarande. Vilket innebär att sårbarheten fungerar även om användaren inte har Zoom installerat längre.
Som noterats ovan informerade Leitschuh Zoom om sårbarheten redan i mars, och forskaren har satt upp en detaljerad tidslinje för hur allt detta skedde före offentliggörandet på måndag kväll. Enligt Leitschuh fixades regressionen den 8 juli, men han kunde snabbt hitta en lösning.
Dessutom säger Leitschuh att Zoom inte har en lönsam automatisk uppdateringsprocess implementerad, vilket innebär att många Zoom-användare där ute i naturen potentiellt använder en äldre version av programvaran och fullt ut kan köra sårbarheten.
Nu har Zoom svarat på problemet och har skickat ut en uppdatering för att lösa problemet:
Den 9 juli-korrigeringen till Zoom-appen på Mac-enheter som beskrivs nedan är nu live. Du kan se en pop-up i Zoom för att uppdatera din klient, ladda ner den på zoom.us/download eller kolla efter uppdateringar genom att öppna Zoom-appfönstret, klicka på zoom.us i det övre vänstra hörnet på skärmen och sedan klicka Sök efter uppdateringar.
Företaget har ett fullständigt blogginlägg om ärendet, som, om du är en Zoom-användare, definitivt är värt att kolla in. Men här är ett kort utdrag där företaget påpekar att det är möjligt att inaktivera Zoom-klienten från att automatiskt aktivera webbkameran när du går med i en videokonferens:
Den här veckan publicerade en forskare en artikel som väckte oro över vår videoupplevelse. Hans oro är att om en angripare kan lura en målzoomanvändare att klicka på en webblänk till angriparens Zoom-mötes-URL, kan målanvändaren omedvetet gå med i angriparens Zoom-möte. Om användaren inte har konfigurerat sin Zoom-klient för att inaktivera video vid deltagande i möten, kan angriparen kunna se användarens videoflöde. Vi kan inte konstatera att detta någonsin har hänt.
Mot bakgrund av denna oro bestämde vi oss för att ge våra användare ännu mer kontroll över deras videoinställningar. Som en del av vår kommande version av juli 2019 kommer Zoom att tillämpa och spara användarens videopreferens från sitt första Zoom-möte till alla framtida Zoom-möten. Användare och systemadministratörer kan fortfarande konfigurera sina klientvideoinställningar för att stänga av video när de deltar i ett möte. Denna ändring kommer att gälla för alla klientplattformar.
Om du är nyfiken och vill kontrollera om Zoom-sårbarheten och hur du kan rensa upp den (och inte bryr dig om att använda appen Terminal) är Glen Madderns inlägg på Twitter ett bra ställe att börja:
O… .k… .
• Dra zoom-appen till papperskorgen
Sedan i terminal:
• lsof -i: 19421 (för att få PID)
• döda -9 [PID] (detta dödar krabban)
• rm -rf ~ / .zoomus (gtfo)
• tryck på ~ / .zoomus (och håll dig borta)Missade jag någonting? https://t.co/UCGtaM3jdp
- Glen Maddern? (@glenmaddern) 9 juli 2019
Zoom har meddelats som en av de bästa videokonferensapparna och -tjänsterna ute, men detta är en enorm sårbarhet. Det är fortfarande möjligt att Zoom kan studsa tillbaka ganska snabbt - särskilt om den kan uppgradera sin automatisk uppdateringsmekanism för att faktiskt se till att den nya, korrigerade programvaran finns på fler maskiner där ute.
Är du en Zoom-användare?