Spät in der vergangenen Nacht wurde berichtet, dass eine große Sicherheitslücke in der Zoom Mac-App entdeckt wurde, die es einigen Websites im Grunde ermöglichte, die Webcam eines Computers zu entführen.
Die Zero-Day-Sicherheitslücke wurde vom Sicherheitsforscher Jonathan Leitschuh entdeckt, den er Zoom bereits im März gemeldet hatte. Leitschuh hat kürzlich die Details der Sicherheitsanfälligkeit für sein Konto "Medium" veröffentlicht, in denen genau beschrieben wird, wie es funktioniert und wie gefährlich es für Zoom-Benutzer sein kann.
Die allgemeine Zusammenfassung lautet wie folgt: Wenn Sie die Videokonferenz-App Zoom auf Ihrem Mac installieren, wird auch ein Webserver direkt auf Ihrem Computer installiert. Dies "akzeptiert tatsächlich Anfragen, die normale Browser nicht", heißt es in einem Bericht von Der Rand. Dieser Webserver wird als Hintergrundprozess ausgeführt, wodurch es möglich ist, „einen Benutzer mit aktivierter Videokamera ohne Erlaubnis des Benutzers zwangsweise einem Zoom-Anruf beizufügen“..
Im ursprünglichen Medium-Beitrag werden Links bereitgestellt, um die Sicherheitsanfälligkeit zu testen. Dadurch wird der Benutzer an einer Konferenzschaltung teilnehmen, bei der die Kamera bereits aktiviert ist, ohne dass der Benutzer dies direkt akzeptiert.
Was noch schlimmer ist, da der Webserver direkt auf dem Computer installiert ist, auch wenn die Zoom-Anwendung deinstalliert wird, bleibt sie vorhanden. Dies bedeutet, dass die Sicherheitsanfälligkeit auch dann besteht, wenn der Benutzer Zoom nicht mehr installiert hat.
Wie oben erwähnt, hat Leitschuh Zoom bereits im März über die Sicherheitslücke informiert, und der Forscher hat einen detaillierten Zeitplan erstellt, wie dies alles vor der Veröffentlichung am Montagabend geschehen ist. Laut Leitschuh wurde die Regression am 8. Juli behoben, er konnte jedoch schnell einen Workaround finden.
Laut Leitschuh ist bei Zoom kein lohnenswerter automatischer Aktualisierungsprozess implementiert. Dies bedeutet, dass viele Benutzer von Zoom in freier Wildbahn möglicherweise eine ältere Version der Software verwenden und in der Lage sind, die Sicherheitsanfälligkeit vollständig zu umgehen.
Jetzt hat Zoom auf das Problem reagiert und ein Update gesendet, um das Problem zu beheben:
Der Patch vom 9. Juli für die Zoom-App auf Mac-Geräten (siehe unten) ist jetzt live. Möglicherweise wird in Zoom ein Popup-Fenster angezeigt, in dem Sie Ihren Client aktualisieren, es unter zoom.us/download herunterladen oder nach Updates suchen können, indem Sie das Fenster der Zoom-App öffnen, auf zoom.us in der oberen linken Ecke des Bildschirms klicken und dann auf klicken Auf Updates prüfen.
Das Unternehmen hat einen vollständigen Blogeintrag zu diesem Thema, den Sie als Zoom-Benutzer unbedingt lesen sollten. Aber hier ist ein kurzer Ausschnitt, in dem das Unternehmen darauf hinweist, dass es ist Es ist möglich, den Zoom-Client daran zu hindern, die Webcam automatisch zu aktivieren, wenn Sie an einer Videokonferenz teilnehmen:
Diese Woche veröffentlichte ein Forscher einen Artikel, in dem Bedenken hinsichtlich unserer Videoerfahrung geäußert wurden. Er befürchtet, dass ein Angreifer, der in der Lage ist, einen Zoombenutzer zum Klicken auf einen Weblink zur URL der Zoombesprechungs-ID des Angreifers zu verleiten, unwissentlich an der Zoombesprechung des Angreifers teilnehmen könnte. Wenn der Benutzer seinen Zoom-Client nicht so konfiguriert hat, dass er bei der Teilnahme an Besprechungen das Video deaktiviert, kann der Angreifer möglicherweise den Video-Feed des Benutzers anzeigen. Bemerkenswerterweise haben wir keinen Hinweis darauf, dass dies jemals passiert ist.
Aus diesem Grund haben wir beschlossen, unseren Benutzern noch mehr Kontrolle über ihre Videoeinstellungen zu geben. Im Rahmen unserer bevorstehenden Veröffentlichung im Juli 2019 wendet Zoom die Videoeinstellungen des Benutzers von seinem ersten Zoom-Meeting auf alle zukünftigen Zoom-Meetings an und speichert sie. Benutzer und Systemadministratoren können ihre Clientvideoeinstellungen weiterhin so konfigurieren, dass das Video beim Beitreten zu einer Besprechung deaktiviert wird. Diese Änderung gilt für alle Client-Plattformen.
Wenn Sie neugierig sind und nach der Zoom-Sicherheitsanfälligkeit suchen und herausfinden möchten, wie diese behoben werden kann (und es Ihnen nichts ausmacht, die Terminal-App zu verwenden), sind die Beiträge von Glen Maddern auf Twitter ein guter Ausgangspunkt:
In Ordnung… .
• Ziehen Sie die Zoom-App in den Papierkorb
Dann im Terminal:
• lsof -i: 19421 (um die PID zu erhalten)
• kill -9 [PID] (das tötet die Krabbe)
• rm -rf ~ / .zoomus (gtfo)
• ~ / .zoomus berühren (und draußen bleiben)Habe ich etwas vergessen? https://t.co/UCGtaM3jdp
- Glen Maddern? (@glenmaddern) 9. Juli 2019
Zoom wurde als eine der besten Videokonferenz-Apps und -Dienste auf dem Markt angekündigt, dies ist jedoch eine große Sicherheitslücke. Trotzdem ist es möglich, dass Zoom ziemlich schnell zurückspringt - insbesondere, wenn der automatische Aktualisierungsmechanismus aktualisiert werden kann, um sicherzustellen, dass die neue, gepatchte Software auf mehr Computern verfügbar ist.
Sind Sie ein Zoom-Benutzer??
