企业视讯会议软件Zoom遭披露严重安全漏洞,任何网站都能擅自将Mac用户拉进Zoom视讯会议,并强制开启电脑镜头。现在苹果(苹果)已针对Mac用户发布更新,出手删除问题Web服务器。
Zoom一向以方便易用着称,这项优势让它在竞争激烈的市场中崭露头角,用户多达400万人,横跨全球75万家公司。前阵子Zoom更以黑马之姿在纳斯达克挂牌上市,市值突破160亿美元。
Zoom爆发资安漏洞,删除软件也没用
Zoom透过在Mac上建立Web服务器,让用户点击网址就能启动程序,加入视讯会议。然而这项便利的服务,如今却引发严重的资安疑虑。
资安研究人员强纳森.雷爵(Jonathan Leitschuh)本周曝光此漏洞,任何网站都能藉由在网页中嵌入特定代码,在Mac用户无意点击时,强制将其加入Zoom视讯会议,并在未经用户允许的情况下开启镜头。
最糟糕的是,删除Zoom也无济于事,只要Web服务器仍存在,有心人士依旧能透过此漏洞重新安装赢咖4平台,甚至操控电脑对他人发动DDoS攻击。
▲Zoom漏洞能未经允许将用户拉进视讯会议,同时擅自开启镜头。
雷爵在今年3月首次向Zoom披露这个漏洞,并给予该公司90天期限解决问题。虽然Zoom 4月初就对漏洞进行确认,但认为此漏洞风险不大,没有积极进行处理。
另外,雷爵也向Chromium、FireFox资安团队告知此漏洞,但由于问题不是出在浏览器上,开发人员也无能为力。
起初Zoom官方回应,在Mac用户端设立本地Web服务器,是为了对应Safari 12的更新,提供一键加入会议的办法,增进消费者使用体验;并澄清已在接获通报后,封锁被利用于DDoS攻击的可能性,所以并不打算删除本地Web服务器。
但事情闹大后,Zoom也改变态度,发布更新删除本地Web服务器,以及提供用户解除安装时移除服务器的选项;并计划7月12日再度推出安全更新,更改原先默认开启视讯的设定。
▲Zoom于7月9日率先推出更新,删除隐藏在电脑内的本地Web服务器,并计划12日再度更新视讯默认设定。
Zoom资安长理查,法利(Richard Farley)坚持本地Web服务器不像雷爵描述的具有高风险,但他们尊重外界的想法,决定在更新中删除服务器。他们不会改变能在网页iframe中嵌入Zoom指令的功能,并声称许多企业用户都会用到此项目。
保障用户权益,苹果出手删除问题服务器
值得一提的是,虽然Zoom已经发布更新,但苹果依旧针对Mac用户推出安全更新,自动将隐藏在电脑深处的Web服务器删除。显然苹果认为有部份用户可能暂时不会打开Zoom,或者为软件进行更新。
虽然苹果时常悄悄推出更新,为用户防护病毒或恶意软件,但鲜少针对知名软件采取行动。外媒《TechCrunch》指出,Zoom发言人普莉希拉.麦卡锡(Priscilla McCarthy)回应,他们很高兴能与苹果合作测试这次更新,并期望Web服务器的问题能得到解决,同时承诺未来也会持续解决用户任何担忧。
Zoom并非唯一一款有此疑虑的视讯会议软件,根据《The Verge》报导,BlueJeans也是利用类似的方法提供服务,不过该公司声称,旗下软件仅允许透过官网连结启动,解除安装时也会彻底进行删除,安全性相对有保障。
