MAC 使用者小心被偷看!視訊獨角獸「ZOOM」爆發零日漏洞

有多可怕?它可以讓任何網站在未經許可的情況下,就可強行把使用者連接到 ZOOM 會議並開啟其電腦上的附帶鏡頭!
評論
Photo Credit: INSIDE/Chris
Photo Credit: INSIDE/Chris
評論

美國資安研究者今天公布獨角獸視訊會議服務「ZOOM」的大型漏洞,有多可怕?它可以讓任何網站在未經許可的情況下,就可強行把使用者連接到 ZOOM 會議並開啟其電腦上的附帶鏡頭!

不只如此,較舊 MAC 版本的 ZOOM 甚至還會在使用者電腦內安裝小型 Web 伺服器套件來接收普通瀏覽器不會接收的請求,不只可以在使用者不知情的狀況下重新安裝ZOOM,駭客甚至可以直接對你的 MAC 發動 DOS 攻擊。

怎麼解決呢?目前大家可以先「手動」處理,首先先更新至最新版ZOOM,然後在設置(Setting)的 Video 中勾選「加入會議時關掉相機」(Turn off my video when joining a meeting,如下圖)這個選項;但請注意,只刪除 ZOOM 應用程式本身是無法解決問題的,因為該 Web 伺服器仍然存在於 MAC 內部,若要關閉 Web 伺服器則需要運行一些終端命令,詳盡辦法請點連結。

這位資安研究者 Jonathan Leitschuh 說他已在 3 月 26 日發現這個漏洞並回報給 ZOOM,但他表示 ZOOM 雖然很快就確認漏洞確實存在,但卻無法即時解決問題,此外 Chrome 與 Mozilla 的開發者也都發現了該項漏洞,但由於這不是其瀏覽器的問題,所以這些人員也無能為力。如果你想看漏洞樣本可以點連結上 GitHub 找。

此外根據 ZOOM 官方對外媒的回應,他們似乎是為了對應 Safari 12 才使用了本地伺服器方案來提升使用者體驗,至今解決方法就是更新至新版,並開放使用者在首次加入通話時,讓他們自己選擇是否開啟鏡頭,但並不想改變在使用者電腦內安裝小型 Web 伺服器的架構。


精選熱門好工作

產品經理 / Product Manager

奔騰網路科技有限公司
臺北市.台灣

獎勵 NT$20,000

前端開發者 / Frontend Developer

奔騰網路科技有限公司
臺北市.台灣

獎勵 NT$20,000

INSIDE 行銷企劃專員

關鍵評論網股份有限公司
臺北市.台灣

獎勵 NT$20,000

評論