更多

    視像會議服務 Zoom 軟件發現漏洞 一條連結可騎劫 Mac 機鏡頭

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    【iOS14 升級精讀】Safari 網站私隱報告

    iOS 14 的 Safari 除了也會監察網站帳戶密碼被駭客竊取之外,還加入了網站私隱報告,讓用戶更了解網站使用甚麼方式來追踪用戶,與及 Safari 已攔截的追踪器。

    【iOS14 升級精讀】停止第三方程式追踪

    早前 Facebook 向開發人和廣告商發出警告,指 iOS 14 新加入的追踪提示會嚴重影響廣告收益。這追踪提示會在程式想將自己收集到的資料與第三方程式的資料作比對來追踪用戶時發出警告,讓用戶決定是否願意被追踪。大家亦可以一律拒絕追踪。

    【iOS14 升級精讀】監察密碼安全

    很多人喜歡在不同程式和網站使用同一密碼,但如果其中一個網站被駭客入侵,其他使用同一密碼的服務都有可能受到威脅。 iOS 14 就加入了「保安級別建議」,比對已知被駭客截取的密碼,向用戶發出提示。

    網絡保安研究員 Jonathan Leitschuh 日前公開視像會議服務供應商 Zoom 為 Mac 機而設計的程式存在漏洞,在 Mac 機裡安裝了一個伺服器來自動在幕後安裝 Zoom 的會議程式,這讓網站有機會透過特別的連結,未得用戶同意下在 Mac 機上自動開啟視像會議,偷看受害者的活動。 Zoom 在漏洞被公開之後終於推出修正檔修正漏洞。

    Zoom 為個人和企業用戶提供視像會議產品和服務
    Zoom 為個人和企業用戶提供視像會議產品和服務

    有關的漏洞是由 Zoom 的 Mac 程式裡裝了一個網頁伺服器引發的,該伺服器會接受請求來自動開啟視像會議,而即使用戶移除了該程式,網頁伺服器仍然會殘留在機內繼續接受請求,而且還會自動在 Mac 機裡全裝 Zoom 程式,但沒有請求用戶批准。

    根據 Leitschuh 的示範,用戶如果之前在 Mac 機上安裝過 Zoom 的會議程式,只要點擊連結,就會自動開啟 Mac 機的鏡頭加入會議,而事前不需要 Mac 機用戶同意。而在 Twitter 上亦有網民證實漏洞可行,可以開啟不認識的人的 Webcam 實時觀看對方一舉一動。另外,惡意攻擊者還可以不停向 Mac 機上的伺服器發送大量請求,來癱瘓該 Mac 機。

    由於程式在 Mac 機裡安裝的網頁伺服器會在幕後執行,只要一條簡單連結就可以自動開啟視像會議。
    由於程式在 Mac 機裡安裝的網頁伺服器會在幕後執行,只要一條簡單連結就可以自動開啟視像會議。

    其實 Leitschuh 三月時就已知會 Zoom 方面,並給他們 30 日時間修正漏洞。但 Zoom 沒有如期修正,所以 Leitschuh 就依照原定日程公開有關漏洞。 Leitschuh 亦同時通知了 Chrome 和 Firefox 的開發團隊,不過由於這個漏洞不是出自那些瀏覽器,所以兩個團隊都無法做甚麼修補。

    最初 Zoom 認為這只是個低風險漏洞,指這功能可以方便用戶參加視像會議。不過最終 Zoom 亦低頭,發布更新檔刪除裝在 Mac 機上的網頁伺服器。修正檔同時提供手動完全移除 Zoom 程式的選項。 Zoom 還公布會在本周末推出另一次更新,用戶可以選擇在開啟新會議時預設關閉 Webcam 。

    Zoom 本來堅持使用網頁伺服器存在很大風險,但聽取了網絡保安社群的意見後,決定推出修訂移除伺服器。
    Zoom 本來堅持使用網頁伺服器存在很大風險,但聽取了網絡保安社群的意見後,決定推出修訂移除伺服器。

    您會感興趣的內容

    相關文章