В популярном сервисе для создания видеозвонков найдены серьезные проблемы с безопасностью
Исследователь информационной безопасности Джонатан Ляйтшу обнаружил сразу несколько серьезных уязвимостей в сервисе Zoom - чуть ли не самом популярном на сегодня ресурсе для видео/аудиозвонков через интернет с возможностью создавать групповые конференции (еще в 2015 году пользователей сервиса насчитывалось больше 40 млн). Причем навредить эти уязвимости могут исплючительно пользователям компьютеров под macOS - тех, что по умолчанию считаются самыми защищенными.
Как говорится в блоге Джонатана, на компьютерах под macOS клиент Zoom тайком устанавливал веб-сервер, который умеет автоматически подключать пользователя к видеозвонкам по команде с любой веб-страницы (без каких-либо дополнительных действий со стороны пользователя, если там прописана команда «запустить клиент и подключиться к конференции»). Если пользователь выходит из приложения, Zoom продолжает работать. И если встроить на какую-нибудь веб-страницу фрагмент кода со ссылкой на конференцию (этот код Ляйтшу, естественно, подобрал), то пользователь, который откроет ее в браузере на macOS, немедленно подключится к этой конференции (читатели блога Джонатана протестировали уязвимость и подтверждают, что смогли подключиться к другим людям, которые, сами того не подозревая вдруг оказались «в прямом эфире»).
Но и это еще не все: если удалить приложение, Zoom может заново скачать и установить его на компьютер, стоит пользователю перейти по ссылке конференции. Ну, и подсунуть юзеру зараженные версии Zoom под видом обновлений - тоже дело нехитрое. А пожелай кто-нибудь заблокировать работу компьютера с установленным Zoom, это можно было бы сделать, внедрив в код страницы несложную команду, заставляющую клиент бесконечно требовать подключиться к несуществующему звонку.
Интересно, что перечисленные уязвимости Ляйтшу обнаружил довольно давно, и еще в конце марта 2019 года связался со службой поддержки Zoom. Он дал компании 90 дней на исправление ошибок, пообещав обнародовать информацию, если это не будет сделано. Для начала компания предложила исследователю денег за молчание, а когда тот отказался и все же опубликовал свои наблюдения, обнародовала ответ, в котором назвала большинство проблем «уязвимостью низкого приоритета» , а то, что Zoom автоматически запускала программу без согласия пользователя, назвала преимуществом, помогающим юзерам «избавиться от лишнего клика перед подключением к звонку» (представляете, как обрадуются такой «фиче» любители посидеть за компьютером в трусах?).
Уверена, что среди моих читателей - немало любителей macOS, хотя бы раз использовавших приложение Zoom. Изложенная выше информация - для вас. Ну, и хороший кейс для специалистов по коммуникациям: не будьте как Zoom и реагируйте на обращения пользователей адекватно.
По материалам meduza.io
Фото - zoom.us