Professional - Tech _ خبير التقنية أخبار التقنية قد يؤدي الخلل الأمني "تكبير خطير" إلى السماح لمواقع الويب باختطاف كاميرات Mac

قد يؤدي الخلل الأمني "تكبير خطير" إلى السماح لمواقع الويب باختطاف كاميرات Mac

petitbicasos 8:30:00 م أخبار التقنية

قد يؤدي الخلل الأمني "تكبير خطير" إلى السماح لمواقع الويب باختطاف كاميرات Mac

اليوم ، كشف الباحث الأمني جوناثان ليتشوه علانية عن وجود ثغرة أمنية خطيرة في يوم صفر لتطبيقات مؤتمرات الفيديو في Zoom على أجهزة Mac. لقد أثبت أنه يمكن لأي موقع ويب فتح اتصال يدعم الفيديو على جهاز Mac مع تثبيت تطبيق Zoom. هذا ممكن جزئيًا لأن تطبيق Zoom يثبت على ما يبدو خادم ويب على أجهزة Mac يقبل الطلبات التي لا تستطيع المتصفحات العادية القيام بها. في الواقع ، إذا قمت بإلغاء تثبيت Zoom ، فسيستمر خادم الويب هذا ويمكن إعادة تثبيت Zoom بدون تدخل.

باستخدام العرض التوضيحي لـ Leitschuh ، أكدنا أن مشكلة عدم الحصانة تعمل - بالنقر فوق ارتباط إذا كنت قد قمت بتثبيت تطبيق Zoom مسبقًا (ولم تقم بتحديد خانة اختيار معينة في الإعدادات) ، سيتم ربطك تلقائيًا بمكالمة جماعية مع الكاميرا قيد التشغيل. يقوم الآخرون على Twitter بالإبلاغ عن نفس الشيء:

هذا الضعف التكبير هو الموز. لقد جربت أحد برهان روابط المفاهيم وربطت بثلاثة راندوس أخرى تفزعها في الوقت الفعلي.

يفصل ليتشه عن كيفية كشفه بمسؤولية عن قابلية تكبير Zoom في أواخر مارس ، مما يمنح الشركة 90 يومًا لحل المشكلة. وفقًا لحساب Leitschuh ، يبدو أن Zoom لم يقم بما يكفي لحل المشكلة. تم الكشف عن الثغرة الأمنية أيضًا لكل من فريقي Chromium و Mozilla ، ولكن نظرًا لأنه لا يمثل مشكلة في متصفحاتهما ، فليس هناك الكثير مما يمكن لمطوري البرامج القيام به.

يعد تشغيل الكاميرا سيئًا بدرجة كافية ، لكن وجود خادم الويب على أجهزة الكمبيوتر الخاصة بهم يمكن أن يفتح المزيد من المشكلات المهمة لمستخدمي Mac. على سبيل المثال ، في إصدار أقدم من Zoom (منذ تصحيحه) ، كان من الممكن سن هجوم رفض الخدمة على أجهزة Mac من خلال اختبار الاتصال المستمر بخادم الويب: "ببساطة عن طريق إرسال طلبات GET المتكررة لرقم غير صالح ، فإن تطبيق Zoom يطلب باستمرار "التركيز" من نظام التشغيل ، "يكتب ليتشه.

يمكنك "تصحيح" مشكلة الكاميرا بنفسك عن طريق التأكد من تحديث تطبيق Mac وكذلك تعطيل الإعداد الذي يسمح لـ Zoom بتشغيل الكاميرا عند الانضمام إلى اجتماع ، كما هو موضح أدناه. مرة أخرى ، ببساطة لن تؤدي إزالة تثبيت Zoom إلى حل هذه المشكلة ، حيث أن خادم الويب هذا مستمر على جهاز Mac. يتطلب إيقاف تشغيل خادم الويب تشغيل بعض الأوامر الطرفية ، والتي يمكن العثور عليها في أسفل المنشور المتوسط.

تقول شركة Zoom إنها طورت خادم الويب المحلي من أجل توفير بعض النقرات للمستخدم ، بعد أن غيرت Apple متصفح الويب Safari بطريقة تتطلب من مستخدمي Zoom تأكيد أنهم يريدون تشغيل Zoom في كل مرة. يدافع Zoom عن "الحل البديل" باعتباره "حلاً مشروعًا لتجربة المستخدم الضعيفة ، مما يتيح لمستخدمينا عقد اجتماعات سلسة بنقرة واحدة للانضمام ، وهي أداة تمييز منتجاتنا الرئيسية."

تقول الشركة إنها ستقوم بتعديل التطبيق بطريقة واحدة: بدءًا من يوليو ، ستوفر Zoom تفضيلات المستخدمين والمسؤولين حول ما إذا كان سيتم تشغيل الفيديو أم لا ، عند انضمامهم لأول مرة إلى مكالمة. بشكل عام ، يبدو أن Zoom لا يخطط لتغيير الطريقة التي يتصرف بها تطبيقه على أجهزة ماكينتوش بشكل جذري لتجنب التعرض لامتصاص مكالمة غير مرغوب فيها ، ولكنه سيعتمد بدلاً من ذلك على المستخدمين لإيقاف تشغيل كاميراتهم افتراضيًا.

الإبتساماتإخفاء

الاشتراك في: تعليقات الرسالة (Atom)