درصورتیکه کاربری از نرمافزار ویدئوکنفرانس Zoom در رایانهی Mac خود استفاده کند باید مراقب باشد، زیرا هر وبگاهی که کاربر در مرورگر وب خود از آن بازدید میکند، میتواند دوربین دستگاه را بدون اجازهی او روشن کند. حتی درصورتیکه کاربر کلاینت Zoom را در دستگاه خود نصب کرده و آن را حذف کرده باشد، یک مهاجم راه دور همچنان میتواند وبکم کاربر را فعال کند.
برنامهی Zoom یکی از محبوبترین بسترهای ملاقات مبتنیبر ابر است که گزینههای به اشتراکگذاری ویدئو، صدا و تصویر را برای کاربران ارائه میدهد که به آنها اجازه میدهد تا میزبان وبینار، آموزش آنلاین دروس باشند و یا بهصورت آنلاین به بازدیدهای مجازی بپیوندند. پژوهشگر امنیت سایبری به نام Jonathan Leitschuh جزئیات یک آسیبپذیری امنیتی بحرانی وصلهنشده (CVE-2019-13450) در برنامهی کلاینت Zoom مخصوص رایانههای Mac اپل را منتشر کرد که درصورتیکه با یک آسیبپذیری مجزا ترکیب شود، به مهاجمان اجازه میدهد تا کد دلخواه را بهصورت از راه دور در سیستمهای هدف اجرا کنند.
Jonathan این آسیبپذیری امنیتی را بیش از ۹۰ روز گذشته به شرکت آسیبدیده گزارش داد، اما گروه Zoom موفق نشد وصلهی امنیتی مناسبی ارائه دهد و حریم خصوصی و امنیت بیش از ۴ میلیون کاربر را در معرض خطر قرار میگیرد. این آسیبپذیری از ویژگی Click-to-join نرمافزار ویدئوکنفرانس محبوب استفاده میکند که برای فعالسازی خودکار برنامهی Zoom نصبشده در سیستم طراحی شده است که به شرکتکنندگان اجازه میدهد تا از طریق مرورگر وب خود به محض کلیک روی لینک دعوت بهسرعت به یک ملاقات ویدئویی بپیوندند.
Jonathan متوجه شد که برای ارائهی این ویژگی، نرمافزار Zoom یک وب سرور محلی را در سیستم و در درگاه ۱۹۴۲۱ اجرا میکند که بهطور ناامن دستورات را از طریق پارامترهای HTTPS GET دریافت میکند و هر وبگاهی که در مرورگر وب کاربر باز باشد، میتواند با آن تعامل برقرار کند.
برای بهرهبرداری از این آسیبپذیری کاری که یک مهاجم باید انجام دهد این است که از طریق حساب خود در وبگاه Zoom یک لینک دعوت ایجاد کند و آن را بهعنوان یک برچسب تصویر در یک وبگاه شخص ثالث جاسازی کند و یا با استفاده از یک آیفریم کاربران هدف را برای بازدید از آن وبگاه متقاعد کند. به محض اینکه کاربران Mac با کلاینت Zoom نصبشده در سیستم خود از وبگاه مخرب بازدید کنند، این وبگاه برنامهی Zoom را راهاندازی و وبکم آنها را روشن میکند و آنها را در معرض حملهی مهاجمان قرار میدهد.
حذف نرمافزار برای رفع این مشکل کافی نیست زیرا همانطور که Jonathan تشریح کرد ویژگی Click-to-join دستوری را میپذیرد که Zoom را بدون مداخله یا اجازهی کاربران و بهطور خودکار مجدداً نصب میکند. این آسیبپذیری علاوهبر روشن کردن وبکم میتواند برای حملهی منع سرویس به رایانهی Mac هدف با استفاده از ارسال تعداد زیادی درخواست تکراری GET به سرور محلی مورد سوءاستفاده قرار گیرد. Zoom وصلهی این آسیبپذیری را تمام نکرده است، اما کل کاری که انجام دادهاند این است که از روشن کردن دوربین کاربران توسط مهاجم جلوگیری کنند. این آسیبپذیری آخرین نسخهی برنامهی Zoom 4.4.4 مخصوص Mac را تحت تأثیر قرار میدهد.
Jonathan علاوهبر Zoom، این آسیبپذیری را به گروه کرومیوم و موزیلا گزارش داد، اما از آنجا که این مسأله در مرورگرهای وب آنها وجود ندارد، این شرکتها نمیتوانند کار زیادی انجام دهند.
بااینحال، کاربران میتوانند این مسأله را در پایانههای خود رفع کنند. تنها کاری که کاربران باید انجام دهند این است که تنظیماتی را که به Zoom اجازه میدهد تا بهطور خودکار وبکم کاربر را در هنگام پیوستن به یک ملاقات ویدئویی روشن کند، بهطور دستی غیرفعال کنند. برای انجام این کار، کاربر باید به پنجرهی تنظیمات Zoom برود و تنظیمات «خاموش کردن ویدئو در هنگام پیوستن به یک ملاقات» را فعال کند. کاربر میتواند مجموعهای از دستورات ترمینال را اجرا کند تا وب سرور را بهطور کامل حذف کند.
این شرکت در بیانیهی منتشرشده این مسأله را تأیید کرد اما افزود که به دلیل اینکه رابط کاربری کلاینت Zoom پس از راهاندازی در پیشزمینه اجرا میشود، بهراحتی برای کاربر مشخص میشود که ناخواسته به یک ملاقات پیوسته است و میتواند تنظیمات ویدئویی خود را تغییر دهد یا بلافاصله آن را ترک کند.
این شرکت همچنین بیان کرد که هیچ شواهدی نیافتهاند که نشان دهد مسائل گزارششده برای نقض حریم خصوصی کاربران آنها مورد بهرهبرداری قرار گرفته است. Zoom همچنین سایر نگرانیهای مربوط به نرمافزار خود را تأیید و بیان کرد که آسیبپذیری منع سرویس محلی گزارششده، در ماه مِه سال ۲۰۱۹ میلادی رفع شده است، هرچند این شرکت بهخاطر خطر کم این آسیبپذیری، کاربران را مجبور به بهروزرسانی نمیکند.
