会议软件Zoom的Mac版存在一个严重的安全缺陷,它可以劫持网络摄像头,但也会让用户容易受到钓鱼和DOS攻击。
该缺陷利用了Zoom的点击连接功能。如果用户在浏览器中点击了一个特殊的链接,这个漏洞可能会迫使用户在未经允许的情况下打开网络摄像头参加会议。
出现安全问题的原因是Zoom安装了一台在mac电脑后台运行的本地web服务器。但是这个web服务器的安全性很差,用户访问的任何网站都可以与它交互,并对用户的机器进行更改。令人担忧的是,即使用户卸载了Zoom, web服务器仍然是活动的,可以在用户访问网页时用于重新安装Zoom客户机。
安全研究员乔纳森•Leitschuh发现并报告的漏洞,警告说,这可能是用于两种类型的攻击:用户可能被诱惑会见他们的相机打开,为了收集信息网络钓鱼攻击,或者用户的机器可以拒绝服务(DOS)攻击的目标通过发送重复的垃圾对本地服务器的请求。
传统上,桌面和web应用程序都是沙箱化的,以防止这种交叉通信。当Zoom公司意识到这个安全问题时,它发布了一个快速修复方案,该方案为用户在加入通话时是否启用视频保存了设置,这样用户至少可以在默认情况下关闭摄像头。但是,修复并没有解决不安全的本地web服务器的底层问题。
该公司在一篇博客文章中为自己的决定进行了辩护,称如果不使用web服务器,用户在参加会议之前必须点击确认他们想要启动Zoom客户端。本地web服务器允许用户在参加每个会议之前避免这种额外的点击。我们认为,这是一个解决糟糕用户体验问题的合理方案,使用户能够更快地参加一键式会议。”它还指出,没有迹象表明这个漏洞从未被使用过,即使它被使用过,用户也会发现他们无意中加入了一个会议,可以立即离开。
不需要额外点击一个按钮的便利是否值得由不安全的web服务器产生的巨大的安全问题,这不是Zoom热衷于讨论的话题。该公司在给Gizmodo的一份声明中表示,“一键加入会议”是其“关键的产品区别”,它还没有宣布任何解决web服务器不安全问题的计划。