這是因為,研究人員喬納森·萊特舒赫(Jonathan Leitschuh)按照“零日方法”規則披露了Zoom應用的一個嚴重安全漏洞,同時建議用戶確保在公司發布補丁時更新他們的應用程序。
該漏洞利用Zoom中的架構漏洞進行攻擊。在該漏洞中,為改善用戶體驗而安裝的Web服務器會使系統面臨惡意攻擊,網絡攝像頭可以激活。本質上,通過強制邀請用戶參加Zoom呼叫,以發起拒絕服務攻擊(因為打了補丁),并且可以重新激活卸載的應用程序,所有這些都不需要用戶許可。
Zoom解釋說,這樣做是為了改善零散的用戶體驗,是對Safari 12進行升級的變通辦法,這是“一個針對糟糕用戶體驗的合法解決方案,使我們的用戶能夠無縫地一鍵加入會議,這是我們的關鍵產品差異化。”
然而,萊特舒赫在他的披露中說:“首先,在我的本地機器上安裝運行Web服務器的Zoom應用程序,使用完全沒有文檔記錄的API,對我來說感覺非常粗略。其次,我訪問的任何網站都可以與運行在我機器上的這個Web服務器進行交互,這對對于作為安全研究員的我來說,是一個巨大的危險信號。”
萊特舒赫指責Zoom通過使用本地服務器“在背后制定了巨大的目標”,通過一個架構糟糕的技術解決方案讓數百萬用戶陷入遭到網絡攻擊的危險中,這種解決方案以改善用戶體驗為借口基本上繞過了用戶瀏覽器的安全保護措施,而這些保障措施顯然是有充分理由的。
萊特舒赫在3月份向Zoom披露了這個問題,他說:“利用令人驚訝的、功能簡單的Zoom漏洞,你只需向任何人發送會議鏈接(例如https://zoom.us/j/492468757),當他們在瀏覽器中打開該鏈接時,他們的Zoom客戶端在他們的本地機器上就能神奇地打開,這讓用戶很容易陷入攻擊危險之中。”
在披露中,萊特舒赫表示,Zoom推遲了對漏洞的處理,直到90天未披露“寬限期”結束前18天才開始討論他的發現。然后,在6月24日,“經過90天的等待,也就是公開披露截止日期前的最后一天”,Zoom只是簡單地部署了他三個月前向該公司提出的“快速解決方案”。
萊特舒赫說:“最終,Zoom未能快速確認報告的漏洞確實存在,他們也未能及時將問題的解決方案交付給客戶。擁有如此龐大的用戶群的組織,本應更積極主動地保護其用戶免受攻擊。”
精通技術的用戶可以找到并刪除應用程序,但對于我們其余的人,應該改變視頻設置并保持應用程序更新。目前還沒有跡象表明Zoom會進行重大技術上的改變,以解決這個架構上的弱點,所以改變視頻設置并保持它的改變,似乎是避免遭到攻擊的最佳方式。
在一份聲明中,Zoom確認了這個問題,并承認“如果攻擊者能夠誘使目標用戶點擊指向攻擊者Zoom會議的Web鏈接,無論是在電子郵件消息中還是在網絡服務器上,目標用戶都可能在不知情的情況下加入攻擊者的Zoom會議。”
Zoom補充說,其7月份的更新“將應用并保存用戶從第一次Zoom會議到未來所有Zoom會議的視頻首選項。用戶和系統管理員仍然可以配置他們的客戶端視頻設置,以便在加入會議時關閉視頻。此更改將應用于所有客戶端平臺。”
Zoom表示:“我們非常認真地對待與我們產品相關的所有安全問題,并有一個專門的安全團隊。我們承認,我們的網站目前沒有為報告安全問題提供明確的信息。在未來幾周,Zoom將使用其公共漏洞獎勵計劃,補充我們現有的私人獎勵計劃。”
不過,萊特舒赫對此仍持懷疑態度,并建議轉而采用“零日策略”,這顯然更能確保這類曝光受到關注。
京公網安備 11010502049343號