Apple выпускает тихое обновление Mac, которое удаляет локальный веб-сервер Zoom
Исследователь безопасности недавно обнаружил, что приложение Zoom имеет довольно тревожный недостаток безопасности для тех, кто использует приложение на Mac. Согласно сообщению Medium, опубликованному в понедельник, 8 июля, исследователем безопасности Джонатаном Лейтшу, версия приложения Zoom для Mac имеет уязвимость, которая позволяет веб-сайтам запускать видеозвонки (и включать веб-камеру) без вашего разрешения.
Но по состоянию на среду, 10 июля, Apple решила решить проблему безопасности Zoom с помощью собственного решения: тихое обновление Mac, которое устраняет проблемный локальный веб-сервер, который поставляется с версией популярного приложения для видеоконференций Mac, сообщает TechCrunch .
Zoom хорошо известен и используется бесчисленными компаниями именно благодаря простоте использования. (Пользователи могут присоединяться к видеовызовам только с помощью общей ссылки и щелчка.) Но оказывается, что именно эта простая в использовании функция является источником уязвимости. Согласно сообщению Leitschuh, установка Zoom-клиента для Mac не просто сопровождается приложением для видеозвонков; он также поставляется с локальным веб-сервером, который также установлен. Этот локальный сервер позволяет пользователям Mac получать доступ к видеовызову Zoom одним щелчком мыши. Но, как отмечает Лейтшух, функция локального сервера «действительно не была реализована надежно».
Фактически сервер настолько уязвим, что позволяет другим, потенциально вредоносным веб-сайтам, получить доступ к веб-камерам Mac, чтобы «принудительно присоединить пользователя к вызову Zoom» и включить их веб-камеры без разрешения. Кроме того, недостаток безопасности сервера (для более старых версий Zoom) также позволил бы веб-сайтам завершить атаку DoS (отказ в обслуживании) на Mac, «неоднократно присоединяя пользователя к неверному вызову». Лейтшух также отметил, что недостаток безопасности DoS был исправлен в версии 4.4.2 клиента Zoom.
Пользователи не могут просто удалить Zoom, чтобы решить проблему. В отчете Лейчуха также упоминается, что локальный веб-сервер остается на вашем Mac даже после удаления Zoom. Кроме того, этот сервер может переустановить Zoom без вашего разрешения. И кажется, по крайней мере, согласно версии событий Лейтшу, что Zoom, хотя и осознавал этот недостаток, в то время не полностью исправил проблему безопасности.
Первоначально Zoom сказал, что это не решит проблему, но в итоге сказал, что во вторник выпустит патч, который устранит ошибку, согласно Wired .
Несмотря на недавно выпущенный патч Zoom, Apple теперь предоставила собственное решение проблемы безопасности веб-камеры Zoom. Согласно TechCrunch, (автоматическое) автоматическое обновление Mac, как ожидается, удалит локальный сервер, который был установлен вместе с приложением для видеоконференций Zoom. Автоматическое обновление также будет содержать функцию, которая спрашивает пользователей Mac, хотят ли они открыть приложение Zoom, вместо того, чтобы просто открывать приложение автоматически.
Apple пролила немного света на причины создания этого тихого обновления для Mac и сообщила TechCrunch, что это обновление предназначено для защиты бывших и нынешних пользователей приложения Zoom для Mac от уязвимости, сохраняя при этом функциональность приложения.
Обновлено 11 июля 2019 года. Apple выпустила обновление для Mac, которое удаляет локальный веб-сервер Zoom.