視訊會議軟體Zoom爆資安漏洞,蘋果出手更新刪除問題程式
企業視訊會議軟體Zoom遭披露嚴重安全漏洞,任何網站都能擅自將Mac用戶拉進Zoom視訊會議,並強制開啟電腦鏡頭。現在蘋果已針對Mac用戶發布更新,出手刪除問題Web伺服器。
Zoom一向以方便易用著稱,這項優勢讓它在競爭激烈的市場中嶄露頭角,用戶多達400萬人,橫跨全球75萬家公司。前陣子Zoom更以黑馬之姿在納斯達克掛牌上市,市值突破160億美元。
Zoom爆發資安漏洞,刪除軟體也沒用
Zoom透過在Mac上建立Web伺服器,讓用戶點擊網址就能啟動程式,加入視訊會議。然而這項便利的服務,如今卻引發嚴重的資安疑慮。
資安研究人員強納森.雷爵(Jonathan Leitschuh)本週曝光此漏洞,任何網站都能藉由在網頁中嵌入特定程式碼,在Mac用戶無意點擊時,強制將其加入Zoom視訊會議,並在未經用戶允許的情況下開啟鏡頭。
最糟糕的是,刪除Zoom也無濟於事,只要Web伺服器仍存在,有心人士依舊能透過此漏洞重新安裝應用程式,甚至操控電腦對他人發動DDoS攻擊。
雷爵在今年3月首次向Zoom披露這個漏洞,並給予該公司90天期限解決問題。雖然Zoom 4月初就對漏洞進行確認,但認為此漏洞風險不大,沒有積極進行處理。
另外,雷爵也向Chromium、FireFox資安團隊告知此漏洞,但由於問題不是出在瀏覽器上,開發人員也無能為力。
起初Zoom官方回應,在Mac用戶端設立本地Web伺服器,是為了對應Safari 12的更新,提供一鍵加入會議的辦法,增進消費者使用體驗;並澄清已在接獲通報後,封鎖被利用於DDoS攻擊的可能性,所以並不打算刪除本地Web伺服器。
但事情鬧大後,Zoom也改變態度,發布更新刪除本地Web伺服器,以及提供用戶解除安裝時移除伺服器的選項;並計劃7月12日再度推出安全更新,更改原先默認開啟視訊的設定。
Zoom資安長理查,法利(Richard Farley)堅持本地Web伺服器不像雷爵描述的具有高風險,但他們尊重外界的想法,決定在更新中刪除伺服器。他們不會改變能在網頁iframe中嵌入Zoom指令的功能,並聲稱許多企業用戶都會用到此項目。
保障用戶權益,蘋果出手刪除問題伺服器
值得一提的是,雖然Zoom已經發布更新,但蘋果(Apple)依舊針對Mac用戶推出安全更新,自動將隱藏在電腦深處的Web伺服器刪除。顯然蘋果認為有部份用戶可能暫時不會打開Zoom,或者為軟體進行更新。
雖然蘋果時常悄悄推出更新,為用戶防護病毒或惡意軟體,但鮮少針對知名軟體採取行動。外媒《TechCrunch》指出,Zoom發言人普莉希拉.麥卡錫(Priscilla McCarthy)回應,他們很高興能與蘋果合作測試這次更新,並期望Web伺服器的問題能得到解決,並承諾未來也會持續解決用戶任何疑慮。
Zoom並非唯一一款有此疑慮的視訊會議軟體,根據《The Verge》報導,BlueJeans也是利用類似的方法提供服務,不過該公司聲稱,旗下軟體僅允許透過官網連結啟動,解除安裝時也會徹底進行刪除,安全性相對有保障。
Zoom緊急修正Mac客戶端漏洞,拿掉本地主機網頁伺服器
視訊會議軟體Zoom遭爆料,其Mac客戶端存在零時差漏洞,且處理漏洞態度消極。該訊息揭露迫使Zoom官方在部落格緊急做出回應,表示新版本將會刪除有安全疑慮的本地主機(Localhost)網頁伺服器,並且讓用戶在解除安裝程序時,能夠移除本地主機網頁伺服器,另外,安全人員也質疑Zoom私密漏洞獎勵計畫,官方也承諾將會推出公開漏洞獎勵計畫,並完善漏洞回報訊息與管道。
資安研究員Jonathan Leitschuh在部落格,揭露Zoom的Mac客戶端應用程式漏洞,引來社群對Zoom激烈的抗議。Jonathan Leitschuh提到,Zoom的使用者在Mac上可能遭受DoS以及資訊洩露攻擊,而且Zoom透過在用戶電腦安裝無法移除的本地主機網頁伺服器,讓任何網頁都可以跟Zoom應用程式構通,這是非常危險的作法。Jonathan Leitschuh在3月的時候向Zoom回報這兩個漏洞,但Zoom只在Mac版本的Zoom客戶端4.4.2修復DoS漏洞,而未經用戶同意,網頁就能啟動攝影機的資訊洩露漏洞則未修補。
網路上大批的抗議聲浪,讓Zoom不得不進一步回應用戶的意見。現在Mac裝置上的Zoom客戶端會收到更新訊息,通知用戶更新最新版本的應用程式,在用戶完成更新後,系統將移除系統上的本地主機網頁伺服器,而且還在Zoom解除安裝程序中,加入完全移除本地主機網頁伺服器的選項,還會連帶一併刪除使用者儲存的設定。
另外,Zoom預計還會在7月時發布一次更新,修正Zoom預設啟用攝影機的選項,用戶未來安裝該更新版本,在第一次選擇始終關閉攝影機的選項後,系統便會自動保存為視訊偏好選項,而用戶也可以隨時在視訊設定中,預設關閉攝影機。Zoom提到,研究人員Jonathan Leitschuh認為用戶有機會點擊攻擊者提供的惡意網頁連結,在未知的情況啟動攝影機,而他們目前還未觀察到任何相關案例發生,不過為了安全起見,在7月將發布的更新還是會做出修正。
Zoom也說明了之所以會在Mac中安裝本地主機網頁伺服器的原因,是為了要減少用戶啟動Zoom會議的手續,因為Safari 12的安全性變更,使得用戶在加入Zoom會議的時候,需要多一道確認手續,才能啟動Zoom客戶端,而本地主機網頁伺服器是用來減少用戶這類額外的點擊動作,提高使用者體驗,Zoom提到,Mac裝置上的本地主機網頁伺服器功能有限,也只能回應本地計算機的請求,而且他們並非是唯一採用這種啟動視訊會議方式的供應商。
而回應Jonathan Leitschuh抨擊Zoom在解決漏洞時的消極態度,Zoom官方提到,之所以沒有積極修補,是因為經過他們與其他研究人員評估,認為預設啟用攝影機是個低風險的漏洞,才會決定不更改設定。而Zoom在5月時修補的DoS漏洞,雖然他們發出了更新應用程式,但是並未強制用戶安裝,也是因為他們同樣認為,這是一個低風險的漏洞,至今尚未有用戶因無限的加入會議請求,而導致系統遭到鎖定。
Apple發出更新,主動移除Mac中的Zoom本地主機網頁伺服器
熱門視訊會議軟體Zoom客戶端被爆,在Mac中安裝易受攻擊的本地主機(Localhost)網頁伺服器,雖然昨天Zoom官方已經緊急發布更新,但考量不少用戶未收到漏洞訊息,以及不願安裝新版的情況,Apple決定直接出手發布Mac更新,用更積極的手段,移除這個允許惡意網站在未經用戶同意的情況,就將用戶加入視訊通話的元件。
資安研究人員Jonathan Leitschuh揭露,Zoom在Mac的客戶端軟體存在嚴重的漏洞,除了用戶可能遭受DoS攻擊之外,攝影機還可能在用戶不知情的狀況被啟動,Jonathan Leitschuh也實作了概念性驗證,證明有心人士確實可以利用Zoom的漏洞進行攻擊。
而之所以惡意網站可以未經用戶同意,就將用戶加入Zoom會議並啟動攝影機,是因為Zoom客戶端在電腦中安裝了一個本地主機網頁伺服器,Zoom對此的說明,是由於Safari 12的安全性變更,在開始每次Zoom會議時,都會要求用戶進行確認動作,因此Zoom透過本地主機網頁伺服器的方式,減少用戶啟動Zoom會議的程序,Zoom也提到,不是只有Zoom客戶端用這種方式啟動會議,而Jonathan Leitschuh表示,從安全性的角度來看,這是一種危險的做法。
儘管Zoom認為Jonathan Leitschuh發現的兩個漏洞危險性很低,目前也沒有任何使用者遭受相關的攻擊,但是做為回應網路社群的抗議聲浪,Zoom官方在昨日也釋出了更新,新版本安裝完成後將會移除用戶電腦中的本地主機網頁伺服器,在解除安裝程序中,也會有選項讓用戶完整移除本地主機網頁伺服器以及儲存的設定檔。
而今天Zoom在官網提到他們與Apple合作,Apple對Mac發布了一項更新,以確保將Zoom的本地主機網頁伺服器從所有Mac中刪除,也就是說,Mac用戶即便沒有安裝Zoom釋出最新的客戶端應用程式,Mac中的本地主機網頁伺服器也會被移除,而這項Mac更新不需要用戶參與任何互動。
另外,Zoom在昨天公告,將在7月稍晚釋出另一個更新版本,改進Zoom客戶端預設開啟攝影機的問題,Zoom今天公開了時程表,該更新將會在周末7月13日釋出,用戶在應用程式首次提問時,如果選擇總是關閉攝影機,則該設定將會被儲存為偏好設定,在預設情況於所有視訊會議中關閉攝影機。
