028-86261949

当前位置:首页 > 行业新闻 > Mac 被曝存在恶意漏洞:黑客可随意调动摄像头,波及四百万用户!

Mac 被曝存在恶意漏洞:黑客可随意调动摄像头,波及四百万用户!

2019/07/18 15:46 分类: 行业新闻 浏览:1

据外媒近日报道,Mac Zoom 客户端曝出了一个严重漏洞,祸及四百万网络用户!报道称,黑客能够在未经用户同意的情况下,远程激活任一安装了 Zoom 应用的 Mac 电脑摄像头。

如此一来,他们不但可以强制加入视频会议,获取网络摄像头画面,甚至还能对 Mac 电脑进行 DoS(拒绝服务)攻击。

 

01、百万 Mac 终端受波及!

Zoom 是一款远程会议服务软件,它有一项极为受欢迎的功能是允许用户向任何人发送会议链接,接收者在浏览器上打开链接之后就能在本地启动 Zoom 客户端和激活摄像头。目前,全球约有 75 万家公司正在使用 Zoom 进行日常业务。安全研究员 Jonathan Leitschuh 因为好奇 Zoom 是如何实现该功能的就去研究了一番,结果却发现存在着安全漏洞。

 

在其个人博客上 Leitschuh 写道,早在三个月前他就向 Zoom 报告了这一漏洞,并给了这家公司充分的时间(90 天公开披露截止日期)来解决这个问题。但是当时正值 Zoom 上市的筹备期,似乎并没有做好充足的工作,其 6 月 21 日释放出的补丁仍然很容易被发现和绕过。

 

而且,Leitschuh 证实,即便卸载了 Zoom 客户端这一问题仍然存在!因为它在本地安装了一个 localhost 服务器去监听端口 19421,而这个服务器在不需要用户干预的情况下就可以重新安装 Zoom:用户可以向任何人发送 Zoom 会议链接,只要对方在浏览器中打开该链接,他们的 Zoom 客户端就会在本地计算机上自动打开并运行。简单来说,Zoom 通过 19421 端口运行着一个 API(应用接口)。但是在 Zoom 的使用说明书以及其它任何文档中,都没有提到过这个端口以及相关的 API。Leitschuh 还表示,而且这个接口是完全暴露在互联网上的,任何网站和个人都可以访问。

 

“我访问的任何网站都有可能与 Mac 上运行的这个 Web 服务器进行交互”,“这对于作为安全研究员的我来说,实在是一个巨大的危险信号!”此外 Leitschuh 还透露,Zoom 缺乏“足够的自动更新功能”,所以仍然有用户在运行该应用的旧版本。

Zoom 网站上的一截代码,透露出 localhost 服务器的存在。

 

访问某一会议链接时显示的浏览器控制台日志。

 

Leitschuh 进一步发现,当 Mac 用户在网页上点击一个 Zoom 视频会议的加入链接时,该网页并不会发布一个常规的 AJAX 请求,而是会直接加载该服务器里保存的一张极其微小的空白图片。


 
以上的 case-switch 逻辑显示,每一个功能都在图片上对应了一个像素点包含了下载、安装客户端、检查版本等操作的链接
 

至于为什么 Web 服务器会以图像文件的尺寸返回编码数据?Leitschuh 表示这是因为 Zoom 绕过了跨源资源共享(CORS),因此浏览器能够忽略掉 localhost 上所运行服务器的任何 CORS 策略。

 

对此,Zoom 方面最新表示,他们会尽快删除隐藏的 Bug 漏洞,并且会在本月晚些时候推出一项更新,让用户可以保存视频通话首选项,以便在加入新通话时网络摄像头可以保持关闭状态——以期进一步保护用户隐私。但是截至目前,这种重新安装的“功能”仍然存在。

 

2、用户如何快速修复 Bug?

不过目前用户已经可以自己“修补”这个问题。Leitschuh 强调,用户首先要确保自己的 Mac 应用是最新的,并禁止 Zoom 打开其相机参加会议的权限设置,如下图所示,点击“参加会议时关闭视频”按钮。

 

除此之外,用户还可以运行下面这条终端命令:  

For just your local account
defaults write ~/Library/Preferences/us.zoom.config.plist ZDisableVideo 1
For all users on the machine
sudo defaults write /Library/Preferences/us.zoom.config.plist ZDisableVideo 1

 

要卸载 Web 服务器,用户可以运行 lsof -i:19421 以获取进程的 PID,再执行 kill -9 [process number],然后删除 〜/ .zoomus 目录以清除 Web 服务器应用程序文件。

要防止在更新后还原此服务器,还可以在终端中执行以下操作:


 

# To prevent the vulnerable server from running on your machine
# (this does not impact Zoom functionality), run these two lines in your Terminal.

pkill "ZoomOpener"rm -rf ~/.zoomus; touch ~/.zoomus && chmod 000 ~/.zoomus;

pkill "RingCentralOpener";  rm -rf ~/.ringcentralopener; touch ~/.ringcentralopener && chmod 000 ~/.ringcentralopener;

# (You may need to run these lines for each user on your machine.)

 

#标签:MAC,黑客调动摄像头,MAC漏洞