Хакеры могут получить доступ к камерам на миллионы Яблока, компьютеры для Mac, благодаря уязвимости в видео-конференции зум программного обеспечения, исследователь безопасности обнаружил.
Джонатан Leitschuh обнаружили способ заставить почти любого Мак, который имеет приложение зум установлен присоединиться к видео звонок.
Один ветеран техник, который обнаружил, что он был в опасности называют недостаток «бананы».
Зум разошлись во мнениях относительно серьезности вопроса, но обновил его программное обеспечение, так что это тяжелее для злоупотреблений.
Обработка ошибок
Мистер Leitschuh сказал, что проблема возникла из-за способа увеличить устанавливает встреч и видео-конференций.
В целом, сказал он, это подразумевает организатор отправляет веб-ссылку с другими людьми, что они просто нажмите на кнопку Присоединиться к собранию.
Чтобы сделать присоединение к собраниям легче, программа зум для Мак ставит веб-сервер на каждом компьютере, на котором он установлен. Это обрабатывает сложные задания устный ссылку нажал и подключение всех разные машины вместе.
Не все маки были уязвимы, — сказал исследователь. Остались только те пользователи, кто не менял настройку, выключил видео, когда они вышли на митинг под угрозой, сказал он.
Хакеры могут использовать этот недостаток, поставив заминировано код на сайтах, которые подключены к скрытым веб-сервера, когда жертвами нажмите на них.
«Эта уязвимость бананы зум», — писал Пионер блоги Мэтт Хоги на Твиттере. Он щелкнул одним из доказательств — принципиальной схемы одной Мистер Leitschuh поставлены и подключены к трем другим людям «крышу сносит в реальном времени».
@mathowie
Отчет
@mathowie
Отчет
Мистер Leitschuh обнаружил, веб-сервер что является автономным программным обеспечением, которая сохраняется на компьютерах Мак, даже если основной программный зум удаляется. В своем блоге он представил Инструкции о том, как вручную удалить сервер.
Проблема не возникает на компьютерах с Windows, так как они регулируют заседании Зума одной в другую сторону.
В своем блоге эксперт по безопасности рассказал, что в конце марта обратился сигнала о проблеме предупреждения его, что он планировал обнародовать информацию в течение 90 дней.
Ряд обсуждений с командой безопасности последовало зум, он добавил, что привело компании предложить то, что мистер Leitschuh охарактеризовать как «быстрое решение».
Зум оспаривает эту версию событий и заявила, что она помолвлена с мистером Leitschuh в «минуты» говорят про недостаток.
Он сказал, что будет «очевидно», что кто-то пал жертвой, потому что в видео зум приложение запрограммировано, чтобы быть всего окна на экране пользователя.
Он добавил, что «никаких признаков», что любой из миллионов пользователей стали жертвами на этом пути и сказал, что не согласен с господином Leitschuh о «серьезности» вопроса.
Обновление масштаба была развернута, что изменяет способ связи для встречи и обеспечивает видео отключена по умолчанию, он сказал.
Зум также планируется установить программы ошибка щедрости, которые будут платить ученым за нахождение изъянов. В настоящее время, зум работает только по приглашению схему «охота за ошибками».
