Zoom使用紧急补丁修复了主要的Mac网络摄像头安全漏洞

文章插图
视频会议提供商Zoom推出了一个紧急补丁，以解决Mac用户的零日漏洞，这些漏洞可能会向攻击者提供实时网络摄像头，并启动您从未打算发布的缩放视频聊天。此举是对Zoom之前立场的意外逆转，该公司将该漏洞视为“低风险”，并为其使用本地网络服务器辩护，该服务器偶然暴露了Zoom用户潜在的攻击。
此漏洞的最新更新中详细介绍了此漏洞的详细信息，现在将“一旦Zoom客户端更新后完全删除本地Web服务器”，即可剥夺恶意第三方自动激活网络摄像头的能力缩放链接。该漏洞源于Zoom将本地Web服务器安装到安装其应用程序的Mac计算机上，这允许平台绕过Safari 12中的安全措施，该安全措施通过对话框提示用户确认加入新会议。
在这篇文章最初发布后接受The Verge的采访时，Zoom的首席信息安全官理查德法利解释了公司今天面对的问题：
最终，它基于一直关注这一点并为讨论做出贡献的人们的反馈。我们的原始立场是安装此[Web服务器]流程以使用户无需进行额外点击即可加入会议 - 我们认为这是正确的决定。这是我们的一些客户的要求。
【Zoom使用紧急补丁修复了主要的Mac网络摄像头安全漏洞】但我们也承认并尊重其他人的观点，他们说他们不希望在本地计算机上安装额外的流程。所以这就是我们决定删除该组件的原因 - 尽管事实上它需要从Safari进行额外的点击。
虽然Farley认为它安装的网络服务器“被剥夺了其功能”并且是安全的，但该公司选择将其删除。另外一个值得关注的问题是能够在网页内的iframe中包含缩放链接 - Farley说Zoom不会阻止该功能，因为太多的大型企业客户实际上在他们的Zoom软件实现中使用iframe 。
[更新]我们博客前面详述的Mac设备上的Zoom应用程序的7月9日补丁现已上线。将介绍其中包含的各种修补程序的详细信息，以及如何更新Zoom软件。请参阅博客文章：https：///56yDgoZf1U
- 缩放(@zoom_us)2019年7月9日
Zoom表示，它使用本地Web服务器使其服务更快，更容易使用 - 换句话说，只需点击几下鼠标即可。但是，服务器还创建了一种罕见但现在的可能性，恶意网站可以通过使用iframe激活您的网络摄像头，绕过Safari的内置保护。在自打补丁版本的Zoom中，同样的漏洞也可能被用于通过持续ping到本地Web服务器来对某人进行拒绝服务攻击。
这是更新文本，以及Zoom有关如何安装和/或完全删除Web服务器的说明：
计划于今晚(七月九日)在太平洋时间上午十二时或之前进行的补丁将会执行以下操作：
1.更新Zoom客户端后，完全删除本地Web服务器 - 我们将停止在Mac设备上使用本地Web服务器。部署修补程序后，将在缩放用户界面(UI)中提示Mac用户更新其客户端。更新完成后，将在该设备上完全删除本地Web服务器。
2.允许用户手动卸载缩放 - 我们在缩放菜单栏中添加了一个新选项，允许用户手动和完全卸载缩放客户端，包括本地Web服务器。部署修补程序后，将出现一个新的菜单选项，显示“卸载缩放” 。单击该按钮，将从用户设备中完全删除缩放以及用户保存的设置。
在Leitschuh昨天发布的一篇媒体帖子中，首先详细说明了漏洞，Zoom表示将在本月晚些时候推出一项更新，让用户可以保存视频通话首选项，以便在加入新通话时网络摄像头可以保持关闭状态。这可以通过将您的偏好转移到新的呼叫，包括可能被屏蔽的垃圾链接，旨在让您点击并意外激活您的网络摄像头。
对于一些评论家而言，这还不够，因为Zoom仍然有效地绕过Apple安全，因此它可以立即启动Zoom调用而无需用户确认。Farley在该公司博客文章的原始版本中写道，最初， Zoom为网络服务器辩护，认为这是“解决不良用户体验问题的合法解决方案，使我们的用户能够进行更快，一键加入的会议” 。
我的意思是，平台所有者决定在没有批准点击的情况下，网址不应该打开其他应用程序 - 这是一个非常合理的安全措施。你作为一家公司的反应可能不应该是，“让我们通过无形安装一个潜在安全漏洞的服务器来绕过这个问题。”
- 杰森斯内尔(@jsnell) ， 2019年7月9日
Leitschuh最初在3月份让Zoom意识到了这个问题，他给了Zoom 90天的回应。它最终决定不改变应用程序功能，“法利写道。所以Leitschuh在拒绝加入Zoom的bug赏金计划之后上市，因为Zoom描述了对其不披露政策的不同意见。
但根据Leitschuh，缩放CEO埃里克·袁今天早些时候作出了“关于全脸”，道歉的回应，并放大一拖再拖上解决漏洞，有线报告。顺便提一下，袁先生向Leitschuh和其他研究人员宣布了他们创建的一个测试Zoom频道，以证明他们对漏洞严重性的看法。
与@zoom_us首席执行官在“派对聊天”中的对话非常富有成效。感觉就像他们之前对#vulnerability的立场一样。看到一位首席执行官愿意与一群陌生人打电话来承担责任，这真是令人鼓舞。
- Jonathan Leitschuh(@JLLeitschuh)，2019年7月9日
Farley坚持认为，安全研究员Jonathan Leitschuh昨天披露的漏洞的相对安全风险并不像Leitschuh那样严重。他还认为， Zoom在初次披露期间迅速采取行动，以解决其认为存在问题的安全问题，即DDoS的可能性。
展望未来，注意力可能会从Zoom转移到安装Web服务器进程或其他隐藏的“帮助”软件的其他软件。正如Farley在Zoom对该实践的最初辩护中所说，“我们并不是唯一一家实施此解决方案的视频会议提供商。”正如其他人在Twitter上所指出的那样，这种做法远远超出了视频会议软件。
他们远非孤身一人，快速`lsof -i |grep LISTEN`显示我有：Spotify，Keybase，KBFS ， iTunes ， Numi，https：///MVSAJgN9yY......所有正在运行的本地监听Web服务器。
- Matthew Gregg(@braintube)，2019年7月9日
我们询问Farley他是否有任何关于整个行业的下一步可能在道德上和安全地在计算机上实施这些背景过程的想法。“在公关危机中，这是一个难以回答的问题，”他说。“我不确定我是否已准备好向同行提供建议，但也许我们可以稍后进行跟进。”