Zoom — одна из самых популярных программ

Свежие записи

Zoom — одна из самых популярных программ


Исследователь информационной безопасности Джонатан Ляйтшу рассказал о серии уязвимостей, которые он обнаружил в приложении для видеозвонков Zoom. Как оказалось, на компьютерах под macOS клиент Zoom тайком устанавливал веб-сервер, который умеет автоматически подключать пользователя к видеозвонкам по команде с любой веб-страницы. Более того, этот сервер оставался на компьютерах при удалении Zoom и даже мог заново установить приложение. Вдобавок к этому, злоумышленник мог заблокировать работу компьютера с установленным Zoom, внедрив в код своей страницы несложную команду. Подробнее на сайте zoom online.

Zoom — популярный корпоративный сервис для создания видео- и аудиозвонков через интернет. Бесплатная версия Zoom позволяет создавать групповые конференции длительностью до 40 минут, к которым может присоединиться до 100 человек. Платная версия без ограничений по времени стоит от 15 долларов в месяц.

У Zoom есть приложения для большинства настольных и мобильных операционных систем. Его используют десятки миллионов пользователей — еще в 2015 году их было больше 40 миллионов. Издание с обзорами различных физических и цифровых товаров The Wirecutter, принадлежащее The New York Times, называло Zoom «лучшей программой для организации онлайн-встреч для людей, работающих из дома».

8 июля исследователь Джонатан Ляйтшу рассказал в блоге на Medium об уязвимости, которую он нашел в приложении Zoom для macOS. Ляйтшу утверждает, что связался со службой поддержки Zoom в конце марта 2019 года (сообщение в твиттере, отправленное двумя неделями ранее, компания проигнорировала). Он дал ей 90 дней на исправление уязвимости, пообещав после этого обнародовать информацию. В ходе переговоров Ляйтшу предложили вознаграждение за найденные проблемы — в обмен на согласие не раскрывать их даже после выхода исправлений. Исследователь отказался.

Его претензии к Zoom можно разбить на несколько пунктов. На некоторые из них компания уже ответила — в основном, указав на то, что это не такая уж большая проблема.

«Медуза» попарно приводит претензии Ляйтшу и ответ из блога Zoom.
1. Секретный веб-сервер, который устанавливается на ваш компьютер
В чем проблема

Джонатан Ляйтшу заинтересовался, каким образом работает подключение к конференциям по ссылке. Если пользователь кликает на адрес вида https://zoom.us/j/492468757, то сначала открывается окно в браузере, а почти сразу после этого — запускается приложение Zoom, которое устанавливает соединение.

Исследователь обнаружил, что вместе с Zoom на macOS устанавливается веб-сервер, который продолжает работать, даже если пользователь выходит из приложения. Этот веб-сервер принимает команды, которые прописаны в коде веб-страниц, ведущих в конференцию. Если там прописана команда «запустить клиент и подключиться к определенной конференции», веб-сервер это сделает без лишних действий пользователя.
Что говорит Zoom

В компании утверждают, что на маки устанавливается «веб-сервер с ограниченным набором функций», который нужен, чтобы обойти ограничения браузера Safari. 12-я версия браузера, которая вышла осенью 2018 года, не позволяла сайту Zoom автоматически запускать клиент для звонков без согласия пользователя.

«Локальный веб-сервер позволяет пользователям избавиться от этого лишнего клика перед подключением к звонку», — говорится в блоге Zoom. Компания считает, что это нормальный способ улучшить жизнь пользователей, и утверждает, что не она одна прибегает к нему.
2. Веб-сервер установит Zoom, даже если вы его удалили
В чем проблема

У упомянутого выше сервера есть более широкие полномочия. Например, он может скачивать обновленные версии Zoom. Срок регистрации одного из доменов, с которых происходит скачивание, истекал 1 мая 2019 года. Ляйтшу сообщил об этом представителям Zoom 26 апреля; через несколько часов срок регистрации домена продлили на пять лет. Если бы он попал в руки злоумышленников, те смогли бы подсовывать пользователям зараженные версии Zoom под видом обновлений.

Самое интересное, что веб-сервер не удаляется при удалении приложения Zoom. Он продолжает работать в фоне и может заново скачать и установить клиент для звонков, стоит пользователю перейти по ссылке конференции. Ляйтшу добавил, что не смог нигде найти полноценного описания всех возможностей сервера — а потому неизвестно, какие еще команды он может исполнять без ведома пользователя.
Что говорит Zoom

В оригинальном посте компании о скачивании обновлений и переустановке Zoom не говорилось ничего. Через несколько часов в публикации появилась приписка о выходе новой версии клиента для macOS, которая перестает использовать веб-сервер. Кроме того, в меню Zoom появился пункт, позволяющий полностью удалить с компьютера само приложение и его сервер. Обновление уже доступно — его можно скачать с сайта или через установленный клиент Zoom.

Также читают

»

Zoom — одна из самых популярных программ

Исследователь информационной ...

»

Кто и зачем создал коронавирус COVID-19

Главный вопрос, который задают себе ...

»

Для чего нужна градирня и принцип её работы.

В 2014 году я первый раз побывал на ТЭЦ, ...

»

Когда и зачем нужен ремонт оборудования

Основной частью доильной установки ...

»

Флобер и мифы. Револьвер под патрон Флобера для самообороны!?

Револьверы под патрон Флобера ...

»

Новости на сайте

Когда пользователь ищет сайт для ...

»

How to Get More Views on YouTube: 12 Tactics that Actually Work

Hello, it’s 2020, and you’re here because you want to get more ...

»

Бытовой вакууматор: зачем он нужен и как его выбрать

В этом обзоре мы рассмотрим вопросы, ...

»

Что такое доменное имя? Зачем нужен домен?

Любой сайт в Интернете имеет доменное ...