Через веб-камеры за нами все-таки следят. Взломщики могут активировать их, если у пользователя macOS установлено приложение видеозвонков Zoom. Всему виной — одна возможность, которой наделен сервис.

Уязвимость в работе популярного приложения для видеозвонков обнаружил исследователь по кибербезопасности Джонатан Лейтшух. Сделанные им выводы опубликовал портал Medium. Оказывается, запустить камеру на компьютерном устройстве можно удаленно, причем разрешение системы пользователя для этого не требуется.

По словам Лейтшуха, причина проблемы кроется в возможности присоединения к звонкам при переходе по ссылкам, которую предоставляет Zoom. При этом на макбуках вместе с приложением устанавливается локальный веб-сервер Zoom. Он способен взаимодействовать с сайтами, когда владелец устройства серфит интернет.

Ограничения популярных браузеров, касающиеся запрета обмена данных с сервером localhost, Zoom обходит. Если бы подобная схема в сервисе отсутствовала, то при клике на ссылку присоединения к диалогу постоянно появлялся бы вопрос о запуске приложения.

У Джонатана Лейтшуха получилось подключиться таким образом к звонку, который был создан на другой учетной записи. Специалист заметил, что при установке стандартных настроек в Zoom такое возможно для любых звонков, причем без разрешения, на основе GET-запроса к серверу.

Кроме того, уязвимость позволяет удаленно активировать веб-камеру. Из-за работы локального сервера Zoom в фоновом режиме приложение даже не нужно запускать на компьютере предполагаемой жертвы. Для слежки или иных целей достаточно встроить код из одной строки в embed-содержимое сайта или рекламный баннер.

Чтобы заявления специалиста не казались голословными, он показал, как это работает, на собственном примере. Вредоносный код Лейтшух встроил на свой сайт. При переходе по ссылке любому желающему предлагается скачать Zoom и убедиться в наличии уязвимости.

Если у пользователя установлен клиент приложения, то код сработает автоматически и подключит их к звонку с веб-камерой без какого-либо запроса. Если же программа не установлена, то нужно дать необходимые разрешения для запуска конференц-связи.

Кстати, удаление Zoom с компьютера не гарантирует решение проблемы. Локальный сервер все равно будет работать. Программу тоже смогут установить обратно: для этого нужно только посетить сайт с вредоносным кодом. Дополнительного подтверждения никто не потребует.

Исследователь уведомил Zoom об уязвимости еще в марте 2019 года, представив несколько вариантов того, как можно от нее избавиться. В компании специалисту ответили только через два месяца. Изменения в код были внесены незначительные. Возможность добавить пользователя в звонок и переустановить приложение никуда не делась.

В Zoom заметили, что после одного из следующих обновлений сервис будет интересоваться у пользователей, какие настройки установить для аудио и видео при будущих разговорах. Признаков уязвимости эксплуатации приложения в компании не нашли.

Читайте также