Zoom-appen kan lÄta hackare spionera pÄ Mac-anvÀndare via webbkameror

Zoom-appen kan lÄta hackare spionera pÄ Mac-anvÀndare via webbkameror

UPPDATERING 7/11: Apple har slÀppt sin egen uppdatering som tar bort den dolda webbservern som förblev pÄ en persons Mac Àven efter att Zoom avinstallerades. AnvÀndare behöver inte göra nÄgonting för att fÄ plÄstret; som TechCrunch rapporterar kommer uppdateringen att installeras tyst.

UPPDATERING: Zoom har beslutat att göra mer för att ta itu med de oro som Leitschuh vÀckt. Först planerar företaget att ta bort appens förmÄga att automatiskt installera om sig sjÀlv pÄ en Mac.

“Dessutom har vi en planerad release i helgen (12 juli) som kommer att ta itu med ett annat sĂ€kerhetsproblem: video pĂ„ som standard”, sĂ€ger företaget. “Med den hĂ€r versionen: 1. Första gĂ„ngen anvĂ€ndare som vĂ€ljer rutan” StĂ€ng alltid av min video “sparas automatiskt deras videopreferenser. Valet kommer automatiskt att tillĂ€mpas pĂ„ anvĂ€ndarens zoomklientinstĂ€llningar och deras video kommer att vara AV som standard. för alla framtida möten.

“2. Återkommande anvĂ€ndare kan nĂ€r som helst uppdatera sina videopreferenser och stĂ€nga av video via Zoom-klientinstĂ€llningarna”, tillade företaget.

Zoom gjorde förÀndringen efter att företagets VD pratade med Leitschuh under ett samtal. Du kan hitta mer information om begrÀnsningarna i företagets uppdaterade blogginlÀgg.

Originalhistoria:
Var försiktig med videokonferensappen Zoom; en funktion i produktens Mac-klient kan teoretiskt lÄta en frÀmling spionera pÄ dig via webbkameran.

För att Zoom-anvĂ€ndare ska kunna bjuda in mĂ€nniskor till ett videokonferensmöte i appen behöver de bara dela en webblĂ€nk. Om du klickar pĂ„ startar lĂ€nken automatiskt Zoom-appen – förutsatt att anvĂ€ndaren har den installerad – och börjar spela in via Mac-webbkameran.

Samma funktion kan utnyttjas för att spionera pÄ Zoom-anvÀndare, enligt sÀkerhetsforskaren Jonathan Leitschuh, som började undersöka appen tidigare i Är.

Enligt Leitschuh kan en hackare skapa ett möte och bÀdda in en lÀnk till det pÄ en webbplats. Om en Mac-Àgare besöker den webbplatsen startar Zoom-appen automatiskt och börjar spela in frÄn webbkameran.

”Felet exponerar potentiellt upp till 750 000 företag runt om i vĂ€rlden som anvĂ€nder Zoom för att bedriva dagliga affĂ€rer”, sa han i ett blogginlĂ€gg pĂ„ mĂ„ndag. “Detta kan vara inbĂ€ddat i skadliga annonser, eller sĂ„ kan det anvĂ€ndas som en del av en nĂ€tfiskekampanj.”

För att demonstrera hotet skapade Leitschuh bevis pÄ begrepp som visar hur attacken kan fungera. (Varna: att klicka pÄ lÀnkarna startar Zoom-appen pÄ en Mac och drar dig in i ett videomöte som Àr befolkat av frÀmlingar.) Attacken kan ocksÄ fungera pÄ Windows-baserade datorer om du har tillÄtit din webblÀsare att köras automatiskt. Zooma möten.

?? WINDOWS & MAC ANVÄNDARE ??
Om du nÄgonsin har markerat den hÀr rutan i nÄgon annan webblÀsare Àn Safari Àr du ocksÄ sÄrbar. pic.twitter.com/FbG2efEe0R

– Jonathan Leitschuh (@JLLeitschuh) 9 juli 2019

Som svar rullade Zoom ut en patch som Àr utformad för att förhindra att en mötesskapare aktiverar deltagarnas webbkameror som standard. Leitschuh hÀvdar dock att den lappade versionen fortfarande kan lÄta en hacker aktivera webbkameror.

Trots Leitschuhs varningar förminskar Zoom sÀkerhetsproblemen. Företaget noterar att applikationen kommer att dyka upp över ett skrivbord i förgrunden nÀr den Àr aktiverad.

“Det skulle vara uppenbart för anvĂ€ndaren att de oavsiktligt hade gĂ„tt med i ett möte och de kunde Ă€ndra sina videoinstĂ€llningar eller lĂ€mna omedelbart”, sĂ€ger Zoom i ett blogginlĂ€gg. “Observera att vi inte har nĂ„gon indikation pĂ„ att detta nĂ„gonsin har hĂ€nt.”

Resonemanget Ă€r ocksĂ„ varför Zoom inte anser att problemet Ă€r en sĂ„rbarhet. Appen var utformad för att lĂ„ta anvĂ€ndare sömlöst delta i videokonferensmöten med ett klick. “VĂ„ra kunder har sagt att de vĂ€ljer Zoom för vĂ„r friktionsfria videokommunikationsupplevelse”, tillade företaget.

För att förhindra snooping kan Zoom-anvĂ€ndare gĂ„ in i appens instĂ€llningar och sedan gĂ„ till avsnittet “video” och vĂ€lja “StĂ€ng av min videowebb som gĂ„r med i ett möte.” Du kan ocksĂ„ skydda dig sjĂ€lv genom att tĂ€cka över din webbkamera nĂ€r den inte anvĂ€nds.

Ett annat alternativ Àr att avinstallera Zoom-appen. Men Leitschuh upptÀckte Àven nÀr du tar bort programmet frÄn en Mac kan det automatiskt installera om sig sjÀlv om anvÀndaren nÄgonsin klickar pÄ en lÀnk till en Zoom-mötesinbjudan. För att förhindra detta innehÄller Leitschuhs blogginlÀgg steg som kan hjÀlpa en anvÀndare att helt ta bort Zoom och framtida ominstallationer frÄn en Mac.