ניתן לרגל אחרי כל Mac עם אפליקציית שיחות ועידה בזום. כן, זה יום גרוע מבחינת האבטחה של אפל, שכן ניתן לקודד אתרים זדוניים כדי להתחיל מרחוק שיחת ועידה בוידיאו ב- Mac שלך - ואף ניתן לשלוח את ההתקפה בדוא"ל.
חדשות אלה, שנחשפו על ידי חוקר האבטחה ג'ונתן ליטשה, מראות כי אפילו מחשבי מקינטוש שכבר לא מותקנת בהם זום - אך פעם כן - פגיעים. החדשות הטובות, עם זאת, הן שיש פתרונות (אחד קשה ברצינות), ונראה שזום מתקן את הכל בקרוב.
מה לעשות עכשיו
התיקון, הודות לשינוי זום בעמדתו, נראה פשוט כמו קבלת עדכוני זום כשהם מגיעים. בעדכון לפוסט הבלוג הגדול של זום על הפגם, החברה הצהירה על תיקון שיגיע הערב (9 ביולי) בשעה 3:00 לפני שעון החצות (שעון החצות/חצות) יפתור את העניינים. משתמשים יתבקשו לעדכן את האפליקציה וכי לאחר שהעדכון יסתיים, "שרת האינטרנט המקומי יוסר לחלוטין במכשיר זה".
העדכון גם ישפר כביכול את הליך הסרת ההתקנה. בפוסט של זום נכתב "אנו מוסיפים אפשרות חדשה לשורת התפריטים של זום שתאפשר למשתמשים להסיר את ההתקנה באופן ידני ומלא של לקוח הזום, כולל שרת האינטרנט המקומי."
אנו מצפים לראות אם ג'ונתן לייטשו וחוקרי אבטחה אחרים חושבים שזום עושה עבודה יסודית ונכונה.
כדי להגן על ה- Mac שלך, פתח את הגדרות הזום - לחץ על זום בשורת התפריטים, ולאחר מכן לחץ על הגדרות - ופתח את הקטע וידאו. לאחר מכן סמן את התיבה שליד "כבה את הסרטון שלי בעת הצטרפות לפגישה".
בתפקידו שיתף לייטשו גם קוד לשימוש בטרמינל. הוראות אלה מסתבכות מעט והן הטובות ביותר עבור המשתמשים המתמצאים בסופר-טק שיעדיפו זאת. טיפים אלה ניתנים למיגור שרת האינטרנט ש- Zoom יוצר ב- Mac.
איך זה עובד
כן, כל זה אפשרי מכיוון ש- Zoom מתקינה בחשאי שרת אינטרנט במחשבי Mac, כזו שמקבלת - ומקבלת - בקשות שדפדפני האינטרנט שלך לא יקבלו. לייטשו הסביר כי הוא ניסה לעבוד עם זום, והגיע לחברה במרץ האחרון, אך "הפתרונות שלה לא הספיקו להגנה מלאה על המשתמשים שלהם".
כמו כן, כפי שציינתי קודם, גם המשתמשים שהסירו את התקנת זום ממחשבי ה- Mac שלהם פגיעים. Leitschuh מסביר ששרת האינטרנט המותקן על ידי Zoom נשאר מאחור גם לאחר הסרת התוכנית, וכי ניתן להפעיל את השרת מרחוק לעדכן ולהתקין אוטומטית את הגירסה העדכנית ביותר של Zoom.
אה, וגם קורבן אפילו לא צריך לרמות לפתוח דף אינטרנט. ראשית, משתמש "Vimeo ג'ון" של משתמש Vimeo פרסם הוכחות וידאו לכך שאתה יכול לתקוף את הפגם הזה באמצעות דוא"ל, והיעד אפילו לא צריך לפתוח את ההודעה. הם רק צריכים להשתמש ביישום לקוח דוא"ל שמוריד את ההודעה המקודדת בזדון.
לאחר שלייטשו התווכח עם זום, בטענה שאמרה לחברה כי "לאפשר למארח לבחור אם משתתף יצטרף אוטומטית עם סרטון או לא" היא "פגיעות אבטחה עצמאית", החברה לא הסכימה, ומיקמה את החלטתה כמקבלת משתמש: "זום מאמין לתת ללקוחות שלנו את הכוח לבחור כיצד הם רוצים לבצע זום ".
רוצה לראות את זה בעצמך?
אם אי פעם היה לך זום במכונה שלך, אתה יכול לראות זאת בעצמך.
חפש בבלוג של לייטשו את הביטוי "zoom_vulnerability_poc/" - מכיוון שזהו הקישור להוכחת הרעיון שלו, שמשיקה שיחת זום. הראשונה היא גרסת אודיו בלבד; הקישור השני, הכולל 'iframe' בכתובת האתר, מתחיל שיחה עם סרטון פעיל.
פגיעות זו של זום היא בננות. ניסיתי את אחת ההוכחות לקישורי קונספט והתחברתי לשלושה רנדוסים אחרים שגם התחרפנו מזה בזמן אמת. https://t.co/w7JKHk8nZypic.twitter.com/arOE6DbQaf - מאט האויי (@mathowie) 9,2022-2023 ביולי
מאמר זה הופיע במקור במדריך של טום.
- סקירת macOS Catalina Beta
- השתמשתי בעכבר עם iPadOS והנה איך זה עובד
- סקירת בטא של iPadOS