Zoom修复了WebCAM缺陷的Mac,但安全问题徘徊
缩放本周发布了一个补丁,在其桌面视频聊天应用程序的MAC版本中修复安全漏洞,该应用程序可以允许黑客控制用户的网络摄像头。
该漏洞由安全研究员乔纳森·莱茨(Jonathan Leitschuh)发现,他在周一博客帖子中公布了有关它的信息。裂谷可能影响了750,000家公司,利用Zoom,Leitschuh表示,约400万公司。
缩放表示,它看到了“没有指示”任何用户都受到影响。但对缺陷的担忧以及它如何工作提出了关于其他类似应用是否可能同样脆弱的问题。
缺陷涉及Zoom应用程序中的功能,允许用户快速加入视频呼叫,只要一个立即将用户推出到视频会议的唯一URL链接,就会单击一下。(该功能旨在快速启动应用程序,以获得更好的用户体验。)虽然ZOOM为用户提供了在加入通话前保持摄像机的选项 - 但用户可以在应用程序的设置中关闭相机 - 默认为相机。
德格用户需要在缩放应用中选中此框以关闭对相机的访问。
Leitschuh认为该功能可用于邪恶的目的。通过将用户指向包含嵌入和隐藏在网站代码中的快速连接链路的站点,缩放应用程序可以由攻击者推出,在未经用户权限的情况下切换摄像机和/或麦克风。这可能是因为ZOOM还在下载桌面应用程序时安装Web服务器。
安装后,即使在删除缩放应用程序后,Web服务器仍保留在设备上。
在发布Leitschuh的帖子后,缩放对Web服务器的缩放令人担忧。然而,周二,该公司宣布它将发出紧急补丁以从Mac设备删除Web服务器。
“最初,我们没有看到网络服务器或视频姿势对我们的客户的重大风险,事实上,这对我们的无缝加入过程至关重要,”Zoom Ciso Richard Farley在一个博客文章中表示。“但在过去24小时内听到了一些用户和安全社区的抗议,我们决定使我们的服务更新。”
根据TechCrunch,Apple还在周三发布了“静音”更新,确保了所有MAC设备上删除了Web服务器。该更新还将帮助保护删除缩放的用户。
企业客户担忧
对脆弱性严重程度有不同程度的关注。根据Buzzfeed新闻,Leitschuh在10分中将其严重分类为8.5分; ZOOM在自己的审查后评为3.1的缺陷。
Nemertes Research副总裁兼服务总监Irwin Lazar表示,漏洞本身不应该是企业关注的主要原因,因为用户很快就会注意到在桌面上推出的Zoom应用程序。
“我认为这是非常重要的,”他说。“风险是某人点击假装参加会议的链接,然后他们的缩放客户端开始并将它们连接到会议中。”如果默认情况下,如果视频已突出,则会看到用户,直到他们意识到他们无意中加入会议。“他们会注意到缩放客户端激活,他们会立即看到他们已加入会议。
“在最坏的情况下,他们在拍照前几秒钟离开会议,”拉扎尔说。
虽然漏洞本身尚未知道创造出问题,但放大响应问题所花费的时间更为令人担忧,而Futurum Research的合作伙伴/首席分析师建立合作伙伴/首席分析师丹尼尔纽曼说更多。
“有两种方法看了,”纽曼说。“as [星期三],基于[周二]发布的补丁,这个漏洞是不显着的。
“但是,企业客户的重要性是在没有解决的情况下拖出的问题是如何拖出的,如何重新创建漏洞的初始补丁如何重新创建漏洞,现在必须询问这个最新的补丁是否确实是永久解决方案纽曼说。
Leitschuh表示,他首先在4月份在公司IPO之前的3月下旬开始缩放漏洞,最初通知Zoom的安全工程师是“脱离办公室”。在公开漏洞之后仅在漏洞后到达完整的修复(虽然本周之前推出临时修复)。
“最终,Zoom很快就会发现报告的漏洞实际存在,并且他们在及时修复了向客户提供的问题,”他说。“这个档案的组织和如此大的用户群在保护他们的用户免受攻击方面应该更积极主动。”
在星期三的一份声明中,Zoom Ceo Eric S元表示,该公司有“误判了这种情况,并且没有足够的响应 - 这就是我们。我们采取完全所有权,我们已经学会了很多。
“我可以告诉你的是,我们非常认真地承担用户安全性,我们竭诚为我们的用户致力于执行。”
RingCentral使用Zoom的技术为自己的视频会议服务提供电源,表示它也在其应用程序中解决了漏洞。
“我们最近在HingCentral会议软件中了解了视频漏洞,我们立即采取了对可能受影响的客户的漏洞减轻这些漏洞,”发言人说。
“截至[7月11日],RingCentral不知道被发现或被发现的漏洞受到影响或破坏的任何客户。我们的客户安全对我们至关重要,我们的安全和工程团队正在密切监测这种情况。“
其他供应商,类似的缺陷?
由于供应商试图简化加入会议的过程,因此可能存在类似的漏洞。
“我没有测试其他供应商,但如果他们做的[有类似的功能],我会感到惊讶,”拉扎尔说。“Zoom竞争对手一直在尝试匹配他们的快速开始时间和视频第一体验,大多数人现在都可以通过单击日历链接快速加入会议的能力。”
Computerworld联系了其他领先的视频会议软件供应商,包括Bluejeans,Cisco和Microsoft,询问他们的桌面应用程序还需要将Web服务器安装在Zoom之上。
Bluejeans表示,它的桌面应用程序还使用发射器服务,不能被恶意网站激活,并在今天的博客文章中强调它的应用程序可以完全卸载 - 包括删除发射器服务。
“Bluejeans会议平台并不容易受到这些问题的任何一个,”公司的CTO和联合创始人Alagu Periyananan说。
BlueJeans用户可以通过Web浏览器加入视频通话 - 它“利用浏览器的本机权限流”加入会议 - 或者使用桌面应用程序。
“从一开始,我们的发射器服务是以安全性为顶级实施的,”Periyannan在一封电子邮件中表示。“Launcher服务确保只有Bluejeans授权的网站(例如Bluejeans.com)可以将Bluejeans桌面应用程序启动到会议中。与[Leitschuh]引用的问题不同,恶意网站无法启动Bluejeans桌面应用程序。
“作为持续的努力,我们继续评估浏览器 - 桌面交互改进(包括CORS-RFC1918周围的文章中提出的讨论),以确保我们为用户提供最佳解决方案,”Periyannan说。“此外,对于使用Launcher服务不舒服的任何客户,他们可以与我们的支持团队合作,让Launcher为桌面应用程序禁用。”
思科发言人表示,它的WebEx软件确实“未安装或使用本地Web服务器,并且不会受到此漏洞的影响。”
一个Microsoft发言人表示了同样的事情,指出它也没有像缩放一样安装Web服务器。
突出阴影危险它
纽曼表示,虽然ZOOM漏洞的性质引起了注意力,但对于大型组织来说,安全风险比一个软件漏洞更深入。“我相信这更像是SaaS和Shadow IT问题,而不是视频会议问题,”他说。“当然,如果任何网络设备都不正确设置和安全,漏洞将被暴露。在某些情况下,即使在正确设置的情况下,制造商的软件和固件也可以创建导致漏洞的问题。“
自2011年创造以来,ZOOM非常取得了重大成功,拥有一系列大型企业客户,包括纳斯达克,21件福克斯和三角洲。这在很大程度上是因为员工中的口碑,“病毒”采用,而不是通过IT部门授权的自上而下的软件推出。
纽曼说,这使得大型公司的宽松,Dropbox和其他人的普及,它的采用方式推出了Slack,Dropbox和其他大公司的普及,这可能为希望控制工作人员使用的软件的挑战。当Apps Aren“T审核它时,这导致”更大的风险水平“。
“企业应用程序需要婚姻的可用性和安全;这个特殊的问题表明,Zoom已经比后者更加专注于前者,“他说。
“这是我对WebEx团队和微软团队的喜好看涨的原因的一部分,”纽曼说。“这些应用程序倾向于通过它进入并被适当的各方审查。此外,这些公司的安全工程师都有深刻的替补,专注于应用安全。“
他注意到缩放的初始反应 - 即其“安全工程师离开办公室”,无法回复几天。“它很难想象在MSFT或[思科]处于宽容的类似反应。”