企業視訊會議軟體Zoom嚴重安全漏洞,Apple更新主動移除Mac中的Zoom本地主機網頁伺服器

視訊會議軟體Zoom爆資安漏洞,蘋果出手更新刪除問題程式

企業視訊會議軟體Zoom遭披露嚴重安全漏洞,任何網站都能擅自將Mac用戶拉進Zoom視訊會議,並強制開啟電腦鏡頭。現在蘋果已針對Mac用戶發布更新,出手刪除問題Web伺服器。

Zoom一向以方便易用著稱,這項優勢讓它在競爭激烈的市場中嶄露頭角,用戶多達400萬人,橫跨全球75萬家公司。前陣子Zoom更以黑馬之姿在納斯達克掛牌上市,市值突破160億美元。

Zoom爆發資安漏洞,刪除軟體也沒用

Zoom透過在Mac上建立Web伺服器,讓用戶點擊網址就能啟動程式,加入視訊會議。然而這項便利的服務,如今卻引發嚴重的資安疑慮。

資安研究人員強納森.雷爵(Jonathan Leitschuh)本週曝光此漏洞,任何網站都能藉由在網頁中嵌入特定程式碼,在Mac用戶無意點擊時,強制將其加入Zoom視訊會議,並在未經用戶允許的情況下開啟鏡頭。

最糟糕的是,刪除Zoom也無濟於事,只要Web伺服器仍存在,有心人士依舊能透過此漏洞重新安裝應用程式,甚至操控電腦對他人發動DDoS攻擊。

雷爵在今年3月首次向Zoom披露這個漏洞,並給予該公司90天期限解決問題。雖然Zoom 4月初就對漏洞進行確認,但認為此漏洞風險不大,沒有積極進行處理。

另外,雷爵也向Chromium、FireFox資安團隊告知此漏洞,但由於問題不是出在瀏覽器上,開發人員也無能為力。

起初Zoom官方回應,在Mac用戶端設立本地Web伺服器,是為了對應Safari 12的更新,提供一鍵加入會議的辦法,增進消費者使用體驗;並澄清已在接獲通報後,封鎖被利用於DDoS攻擊的可能性,所以並不打算刪除本地Web伺服器。

但事情鬧大後,Zoom也改變態度,發布更新刪除本地Web伺服器,以及提供用戶解除安裝時移除伺服器的選項;並計劃7月12日再度推出安全更新,更改原先默認開啟視訊的設定。

Zoom資安長理查,法利(Richard Farley)堅持本地Web伺服器不像雷爵描述的具有高風險,但他們尊重外界的想法,決定在更新中刪除伺服器。他們不會改變能在網頁iframe中嵌入Zoom指令的功能,並聲稱許多企業用戶都會用到此項目。

保障用戶權益,蘋果出手刪除問題伺服器

值得一提的是,雖然Zoom已經發布更新,但蘋果(Apple)依舊針對Mac用戶推出安全更新,自動將隱藏在電腦深處的Web伺服器刪除。顯然蘋果認為有部份用戶可能暫時不會打開Zoom,或者為軟體進行更新。

雖然蘋果時常悄悄推出更新,為用戶防護病毒或惡意軟體,但鮮少針對知名軟體採取行動。外媒《TechCrunch》指出,Zoom發言人普莉希拉.麥卡錫(Priscilla McCarthy)回應,他們很高興能與蘋果合作測試這次更新,並期望Web伺服器的問題能得到解決,並承諾未來也會持續解決用戶任何疑慮。

Zoom並非唯一一款有此疑慮的視訊會議軟體,根據《The Verge》報導,BlueJeans也是利用類似的方法提供服務,不過該公司聲稱,旗下軟體僅允許透過官網連結啟動,解除安裝時也會徹底進行刪除,安全性相對有保障。

Zoom緊急修正Mac客戶端漏洞,拿掉本地主機網頁伺服器

視訊會議軟體Zoom遭爆料,其Mac客戶端存在零時差漏洞,且處理漏洞態度消極。該訊息揭露迫使Zoom官方在部落格緊急做出回應,表示新版本將會刪除有安全疑慮的本地主機(Localhost)網頁伺服器,並且讓用戶在解除安裝程序時,能夠移除本地主機網頁伺服器,另外,安全人員也質疑Zoom私密漏洞獎勵計畫,官方也承諾將會推出公開漏洞獎勵計畫,並完善漏洞回報訊息與管道。

資安研究員Jonathan Leitschuh在部落格,揭露Zoom的Mac客戶端應用程式漏洞,引來社群對Zoom激烈的抗議。Jonathan Leitschuh提到,Zoom的使用者在Mac上可能遭受DoS以及資訊洩露攻擊,而且Zoom透過在用戶電腦安裝無法移除的本地主機網頁伺服器,讓任何網頁都可以跟Zoom應用程式構通,這是非常危險的作法。Jonathan Leitschuh在3月的時候向Zoom回報這兩個漏洞,但Zoom只在Mac版本的Zoom客戶端4.4.2修復DoS漏洞,而未經用戶同意,網頁就能啟動攝影機的資訊洩露漏洞則未修補。

網路上大批的抗議聲浪,讓Zoom不得不進一步回應用戶的意見。現在Mac裝置上的Zoom客戶端會收到更新訊息,通知用戶更新最新版本的應用程式,在用戶完成更新後,系統將移除系統上的本地主機網頁伺服器,而且還在Zoom解除安裝程序中,加入完全移除本地主機網頁伺服器的選項,還會連帶一併刪除使用者儲存的設定。

另外,Zoom預計還會在7月時發布一次更新,修正Zoom預設啟用攝影機的選項,用戶未來安裝該更新版本,在第一次選擇始終關閉攝影機的選項後,系統便會自動保存為視訊偏好選項,而用戶也可以隨時在視訊設定中,預設關閉攝影機。Zoom提到,研究人員Jonathan Leitschuh認為用戶有機會點擊攻擊者提供的惡意網頁連結,在未知的情況啟動攝影機,而他們目前還未觀察到任何相關案例發生,不過為了安全起見,在7月將發布的更新還是會做出修正。

Zoom也說明了之所以會在Mac中安裝本地主機網頁伺服器的原因,是為了要減少用戶啟動Zoom會議的手續,因為Safari 12的安全性變更,使得用戶在加入Zoom會議的時候,需要多一道確認手續,才能啟動Zoom客戶端,而本地主機網頁伺服器是用來減少用戶這類額外的點擊動作,提高使用者體驗,Zoom提到,Mac裝置上的本地主機網頁伺服器功能有限,也只能回應本地計算機的請求,而且他們並非是唯一採用這種啟動視訊會議方式的供應商。

而回應Jonathan Leitschuh抨擊Zoom在解決漏洞時的消極態度,Zoom官方提到,之所以沒有積極修補,是因為經過他們與其他研究人員評估,認為預設啟用攝影機是個低風險的漏洞,才會決定不更改設定。而Zoom在5月時修補的DoS漏洞,雖然他們發出了更新應用程式,但是並未強制用戶安裝,也是因為他們同樣認為,這是一個低風險的漏洞,至今尚未有用戶因無限的加入會議請求,而導致系統遭到鎖定。

Apple發出更新,主動移除Mac中的Zoom本地主機網頁伺服器

熱門視訊會議軟體Zoom客戶端被爆,在Mac中安裝易受攻擊的本地主機(Localhost)網頁伺服器,雖然昨天Zoom官方已經緊急發布更新,但考量不少用戶未收到漏洞訊息,以及不願安裝新版的情況,Apple決定直接出手發布Mac更新,用更積極的手段,移除這個允許惡意網站在未經用戶同意的情況,就將用戶加入視訊通話的元件。

資安研究人員Jonathan Leitschuh揭露,Zoom在Mac的客戶端軟體存在嚴重的漏洞,除了用戶可能遭受DoS攻擊之外,攝影機還可能在用戶不知情的狀況被啟動,Jonathan Leitschuh也實作了概念性驗證,證明有心人士確實可以利用Zoom的漏洞進行攻擊。

而之所以惡意網站可以未經用戶同意,就將用戶加入Zoom會議並啟動攝影機,是因為Zoom客戶端在電腦中安裝了一個本地主機網頁伺服器,Zoom對此的說明,是由於Safari 12的安全性變更,在開始每次Zoom會議時,都會要求用戶進行確認動作,因此Zoom透過本地主機網頁伺服器的方式,減少用戶啟動Zoom會議的程序,Zoom也提到,不是只有Zoom客戶端用這種方式啟動會議,而Jonathan Leitschuh表示,從安全性的角度來看,這是一種危險的做法。

儘管Zoom認為Jonathan Leitschuh發現的兩個漏洞危險性很低,目前也沒有任何使用者遭受相關的攻擊,但是做為回應網路社群的抗議聲浪,Zoom官方在昨日也釋出了更新,新版本安裝完成後將會移除用戶電腦中的本地主機網頁伺服器,在解除安裝程序中,也會有選項讓用戶完整移除本地主機網頁伺服器以及儲存的設定檔。

而今天Zoom在官網提到他們與Apple合作,Apple對Mac發布了一項更新,以確保將Zoom的本地主機網頁伺服器從所有Mac中刪除,也就是說,Mac用戶即便沒有安裝Zoom釋出最新的客戶端應用程式,Mac中的本地主機網頁伺服器也會被移除,而這項Mac更新不需要用戶參與任何互動。

另外,Zoom在昨天公告,將在7月稍晚釋出另一個更新版本,改進Zoom客戶端預設開啟攝影機的問題,Zoom今天公開了時程表,該更新將會在周末7月13日釋出,用戶在應用程式首次提問時,如果選擇總是關閉攝影機,則該設定將會被儲存為偏好設定,在預設情況於所有視訊會議中關閉攝影機。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

至少二款取得Zoom技術的白牌Mac版視訊會議app,也有會擅自啟動用戶Webcam的漏洞

繼一周前視訊會議app Zoom傳出有漏洞可讓駭客擅自啟動用戶Web攝影機,又有研究人員發現另二款視訊軟體如RingCentral及中國的矚目(Zhumu)也有類似隱私問題,且有風險的app可能還更多。

Zoom的Mac版用戶端的二項漏洞CVE-2019-13576及CVE-2019-13586,可在用戶連上被嵌入iFrame的任何網站時,讓攻擊者得以遠端啟動電腦的Web攝影機及麥克風,過程中完全不需用戶動手或同意。這是因為Zoom在下載用戶端app時,還暗中下載網頁伺服器和iFrame發生互動。蘋果已經於上周釋出移除Zoom網頁伺服器的Mac更新。

研究人員Karan Lyons發現,取得Zoom技術授權的RingCentral和中國Zhumu,也有同樣遭遇遠端程式碼攻擊的風險,但是它們安裝在用戶電腦上的網頁伺服器都未被蘋果移除。Buzzfeed報導RingCentral現有35萬家企業用戶,而號稱中國版Zoom的Zhumu包括Mac、iOS、Android及Windows版,則有超過500萬次下載。

RingCentral已在最新版本Mac app移除掉網頁伺服器,因此如果你的電腦安裝了這款app,最好立即更新。RingCentral公司對媒體表示目前尚未得知有用戶被攻擊的情形。Zhumu截至7月16日上午,還沒有任何動作。Lyons並說,其他取得Zoom技術授權的白牌app可能也有同樣風險。

研究人員已在GitHub公佈手動移除Zoom、RingCentral及Zhum app網頁伺服器的指令,可從隱藏目錄中移除這項元件,並建立空白檔案、設定權限防止被移除的伺服器軟體重新安裝。而一旦偵測到有伺服器執行,該指令也能將它砍掉。

如果Mac用戶下載了新版Zoom及RingCentral,且用的是Safari瀏覽器,應該就一切安全了,因為Safari會預設關閉自動執行的功能。其他瀏覽器如Chrome或Firefox,恐怕還是會出現啟動Zoom(及RingCentral)的連結,這可能是因用戶安裝Zoom時,在不知情下勾選了「永遠以Zoom開啟連結」的選項。Chrome和Firefox用戶可以到「偏好」選項中搜尋zoommtg、zoomrc或zhumu字串並選擇關閉。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏
Forums  ›  🍎蘋果  ›  App會議