Zoom修复了Mac的网络摄像头漏洞 但安全问题依然存在

Zoom本周发布了一个补丁,用于解决Mac版桌面视频聊天应用程序中的安全漏洞,该漏洞可能让黑客控制用户的网络摄像头。

该漏洞是由安全研究员Jonathan Leitschuh发现的,他在周一的博客文章中发布了有关它的信息 。Leitschuh说,这个缺陷可能会影响750,000家公司和大约400万人使用Zoom。

Zoom表示,任何用户都没有受到影响。但对这个缺陷及其运作方式的担忧引发了对其他类似应用程序是否同样容易受到攻击的疑问。

该漏洞涉及Zoom应用程序中的一项功能,通过一个独特的URL链接即可立即将用户启动到视频会议中,用户只需单击一下即可快速加入视频通话。(该功能旨在快速无缝地启动应用程序,以获得更好的用户体验。)虽然Zoom让用户可以选择在加入呼叫之前关闭相机 - 用户以后可以在应用程序的设置中关闭相机 - 默认就是打开相机。

Leitschuh认为该特征可用于恶意目的。通过将用户引导到包含嵌入并隐藏在站点代码中的快速加入链接的站点,攻击者可以在未经用户许可的情况下切换摄像头和/或麦克风的过程中启动缩放应用程序。这是可能的,因为Zoom还会在下载桌面应用程序时安装Web服务器。

安装后,即使删除了缩放应用程序,Web服务器仍保留在设备上。

在Leitschuh的帖子发表后,Zoom淡化了对Web服务器的担忧。然而,周二,该公司宣布将发布一个紧急补丁,以从Mac设备中删除Web服务器。

“最初,我们没有看到网络服务器或视频播放对我们的客户构成重大风险,事实上,他们认为这些对我们的无缝加入过程至关重要,”Zoom CISO Richard Farley在博客文章中说。“但在听到我们的一些用户和安全社区在过去24小时内的强烈抗议时,我们决定对我们的服务进行更新。”

据Techcrunch称,苹果周三还发布了一项“无声”更新,确保在所有Mac设备上删除网络服务器。该更新还有助于保护删除缩放的用户。

企业客户关注

对漏洞的严重性存在不同程度的担忧。根据Buzzfeed新闻,Leitschuh将其严重程度分为8.5分(满分10分); 根据自己的评估,缩放评级为3.1的缺陷。

Nemertes Research的副总裁兼服务总监Irwin Lazar表示,该漏洞本身不应成为企业关注的主要原因,因为用户会很快注意到在桌面上启动Zoom应用程序。

“我不认为这是非常重要的,”他说。“风险是有人点击假装参加会议的链接,然后他们的Zoom客户端启动并将他们连接到会议中。”如果视频默认配置为开启,则会看到用户,直到他们意识到他们有无意中加入了一个会议。“他们会注意到Zoom客户端激活,他们会立即看到他们已加入会议。

“在最糟糕的情况下,他们在离开会议之前会在相机上停留几秒钟,”拉扎尔说。

Futurum Research的创始合伙人/首席分析师Daniel Newman表示,虽然漏洞本身并不会产生问题,但Zoom对此问题的回应时间更令人担忧。

“有两种方式可以看待这种情况,”纽曼说。“截至[星期三],基于[星期二]发布的补丁,漏洞并不那么重要。

“然而,对于企业客户而言,重要的是这个问题如何在未经解决的情况下拖延数月,最初的补丁如何能够回滚以重新创建漏洞,现在不得不问这个最新的补丁是否确实是永久的解决方案,“纽曼说。

Leitschuh说,他在4月底公司首次公开募股前几周首次向Zoom报告了这个漏洞,并且最初被告知Zoom的安全工程师“不在办公室。”一个完整的解决方案只在漏洞发生后才到位被公之于众(虽然临时解决方案在本周之前推出)。

“最终,Zoom迅速确认所报告的漏洞确实存在,但他们未能及时解决问题并将其解决,”他表示。“这个配置文件的组织和拥有如此庞大的用户群应该更加主动地保护用户免受攻击。”

在周三的一份声明中,Zoom首席执行官Eric S Yuan表示,该公司“错误判断了局势并没有做出足够快的反应 - 这就在我们身上。” 我们拥有完全的所有权,我们学到了很多东西。

“我可以告诉你的是,我们非常重视用户安全,我们全心全意地致力于让用户做到正确。”

RingCentral使用Zoom的技术为其自己的视频会议服务提供支持,并表示它已经解决了其应用程序中的漏洞问题。

“我们最近了解到RingCentral Meetings软件中的视频漏洞,我们已立即采取措施为任何可能受影响的客户缓解这些漏洞,”一位发言人说。

“截至[7月11日],RingCentral并未发现任何受已发现漏洞影响或破坏的客户。我们客户的安全对我们至关重要,我们的安全和工程团队正密切关注这一情况。“

其他供应商,类似的缺陷?

由于供应商试图简化加入会议的过程,因此其他视频会议应用程序中也可能存在类似的漏洞。

“我没有测试过其他供应商,但如果他们确实[有相似的功能]我也不会感到惊讶,”拉扎尔说。“Zoom竞争对手一直在尝试匹配他们的快速启动时间和视频优先体验,现在大多数人都可以通过点击日历链接快速加入会议。”

Computerworld 与其他领先的视频会议软件供应商(包括BlueJeans,思科和微软)联系,询问他们的桌面应用是否也需要安装像Zoom这样的网络服务器。

BlueJeans表示其桌面应用程序也使用了启动服务,无法被恶意网站激活,并且今天在博客文章中强调其应用程序可以完全卸载 - 包括删除启动器服务。

“BlueJeans会议平台不容易受到这些问题的影响,”该公司首席技术官兼联合创始人Alagu Periyannan表示。

BlueJeans用户可以通过Web浏览器加入视频呼叫 - “利用浏览器的本机权限流”加入会议 - 或者使用桌面应用程序。

Periyannan在一封电子邮件声明中说:“从一开始我们的发射器服务就以安全性为首要考虑。” “启动器服务确保只有BlueJeans授权的网站(例如bluejeans.com)才能将BlueJeans桌面应用程序启动到会议中。与[Leitschuh]引用的问题不同,恶意网站无法启动BlueJeans桌面应用程序。

“作为一项持续的努力,我们将继续评估浏览器 - 桌面交互改进(包括围绕CORS-RFC1918的文章中提出的讨论),以确保我们为用户提供最佳解决方案,”Periyannan说道。“此外,对于任何客户对于使用启动器服务感到不舒服的人,他们可以与我们的支持团队合作,让桌面应用程序禁用启动器。“

思科发言人表示,其Webex软件“不安装或使用本地Web服务器,并且不受此漏洞的影响。”

微软发言人说了很多相同的事情,并指出它也没有安装像Zoom这样的网络服务器。

突出影子IT的危险

纽曼说,虽然Zoom漏洞的性质引起了人们的注意,但对于大型企业而言,安全风险比一个软件漏洞更深入。“我认为这更像是一个SaaS和影子IT问题,而不是视频会议问题,”他说。“当然,如果没有正确设置和保护任何网络设备,就会暴露漏洞。在某些情况下,即使设置正确,制造商提供的软件和固件也会产生导致漏洞的问题。“

变焦享有自2011年创立显著的成功,范围的,包括纳斯达克,21家大型企业客户ST世纪福克斯和三角洲。这主要是因为口口相传,员工之间采用“病毒式传播”,而不是IT部门经常要求的自上而下的软件推广。

Newman表示,这种采用方式 - 推动Slack,Dropbox等应用程序在大型公司中的普及 - 可能会给需要严格控制员工软件的IT团队带来挑战。当应用程序未经IT审查时,这会导致“更高级别的风险”。

“企业应用程序需要结合可用性和安全性; 这个特殊的问题表明,Zoom显然更多地关注前者,而不是后者,“他说。

纽曼说:“这是我对Webex Teams和微软团队等人保持看好的部分原因。” “这些应用程序倾向于通过IT进入,并由相关方进行审查。此外,这些公司拥有一支专注于应用安全的深厚安全工程师。“

他注意到Zoom的初步反应 - 它的“安全工程师不在办公室”并且几天都无法回复。“很难想象在MSFT或[思科]可以容忍类似的反应。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。