熱門的視訊會議服務Zoom被發現,其Mac版本的客戶端存在零時差漏洞,可讓惡意網站不須經過使用者同意,就自動啟用攝影機,而且Gradle工程師,同時也是資安研究員的Jonathan Leitschuh還發現,使用者並無法完全卸載Zoom客戶端,網站可以偷偷地將軟體自動重新安裝回來。

Zoom客戶端包含了兩個漏洞,分別是DoS漏洞以及未經授權啟動攝影機的漏洞,Zoom已經確認了漏洞的存在,前者在Mac版本的Zoom客戶端4.4.2更新修補,但是後者還未完成修復。

Zoom客戶端漏洞可以讓任何網站,在未經用戶許可的情況下,將用戶加入會議中,並啟動攝影機,而且透過不停地將用戶加入無效的會議,對使用者進行DoS攻擊。這個漏洞是利用了Zoom本身的功能,攻擊者只要向用戶發送惡意會議連結,用戶在瀏覽器打開該連結,Zoom客戶端就會啟動,而且只要攻擊者反覆地向用戶發送錯誤號碼的GET請求,Zoom應用程式就會不停向作業系統要求焦點,達到DoS攻擊的目的。

未經使用者授權啟用攝影機,是一種資訊洩露漏洞,Jonathan Leitschuh也實現了該漏洞的概念性驗證攻擊,用戶不需要特別啟動Zoom應用程式,就會受到攻擊,任何網站內容包括廣告,只要嵌入特定程式碼,就能立即啟動Zoom用戶的攝影機,讓攻擊者進行視訊監控,而這項漏洞至今尚未修補。

而且Jonathan Leitschuh還提到,用戶並無法真正的卸載Zoom客戶端,因為在安裝Zoom客戶端的時候,該軟體會在系統中安裝一個本地主機(Localhost)的網頁伺服器,而解除安裝Zoom客戶端並無法移除這個網頁伺服器,當使用者存取網頁的時候,網頁可以在不需要使用者互動的情況,將Zoom客戶端安裝回來。

Zoom團隊目前採用修補漏洞的方法,是為發送至客戶端的請求加上數位簽章,並將簽章綁定IP位置,不過Jonathan Leitschuh提到,這項修補並不完全,因為只要攻擊者與受害者在相同的NAT路由器後,則受害者仍然會受到攻擊。

另外,Jonathan Leitschuh也抨擊Zoom,其Mac客戶端存在一個根本性的安全問題,因為任何網站都可以與Zoom客戶端安裝的Localhost網頁伺服器互動,而這是非常危險的做法,他認為網頁不應該使用這種方法與桌面應用程式溝通,瀏覽器應該要啟動一個沙盒以防止惡意程式碼在使用者的電腦上執行,Jonathan Leitschuh推測Zoom使用了駭客技術,繞過了瀏覽器的安全保護機制。

Zoom團隊則解釋,因為Mac的Safari不支援URI處理程序,才需要有這個網頁伺服器。Jonathan Leitschuh建議Mac使用者,要完全消除受到漏洞影響的威脅,需要在Zoom應用程式的設定中,禁用加入會議啟動攝影機的選項,並使用他提供的指令關閉網頁伺服器。

受這個漏洞影響的使用者可能比想像的還要多,Jonathan Leitschuh提到,光在2015年Zoom就擁有4,000萬使用者,如果以10%的Mac市場來算,現在至少有400萬Zoom用戶使用Mac,這個漏洞是個零時差漏洞,而Zoom客戶端缺乏有效率的自動更新機制,導致不少用戶現在仍在使用有漏洞的版本。

在3月初的時候Jonathan Leitschuh首次回報該漏洞,但Zoom並沒有任何回應,直到3月底他再次回報漏洞,並且提到在90天後將公開漏洞資訊,Zoom才開始認真看待這個漏洞,並與Chromium以及FireFox團隊開會,進行修補工作,但Zoom團隊仍沒有在標準90天內完成修補。


Advertisement

更多 iThome相關內容