Fermer

juillet 9, 2019

Une faille de sécurité du zoom pourrait permettre aux sites Web d'activer la webcam de votre Mac sans autorisation

Une faille de sécurité du zoom pourrait permettre aux sites Web d'activer la webcam de votre Mac sans autorisation


Une vulnérabilité sérieuse au jour zéro a été divulguée dans l'application de vidéoconférence Zoom sur Mac.

Le chercheur en sécurité Jonathan Leitschuh, dans un poste moyen a détaillé la faille pourrait laisser des sites Web pirater l'appareil photo de votre Mac et vous «forcer» à vous rejoindre à un appel de Zoom sans votre permission

Environ quatre millions d'utilisateurs de Zoom utilisent un Mac

Voici comment cette vulnérabilité fonctionne. Zoom offre aux utilisateurs un moyen simple de participer à des appels de vidéoconférence en tapant simplement sur un lien – quelque chose comme https://zoom.us/j/999999999, où '999999999' est un ID de réunion aléatoire à 9 chiffres qui expire à la fin de la réunion.

Cela garantit une longue durée Comme l'application Zoom s'exécute en arrière-plan, si vous ouvrez le lien de réunion sur votre navigateur, le client Zoom est automatiquement lancé sur votre Mac.

Leitschuh a découvert que cette fonctionnalité n'était pas implémentée de manière sécurisée. Un utilisateur peut non seulement rejoindre automatiquement une téléconférence Zoom en cliquant simplement sur le lien de la réunion avec la caméra vidéo activée, cela se produit même si l'application Zoom n'est plus installée.

C'est parce que vous installez Zoom. app, il installe également un serveur Web localement pour accepter les demandes de réunion. La partie troublante ici est que, après la désinstallation de l'application, le serveur persiste et peut réinstaller Zoom sans votre intervention.

Cela signifie effectivement si vous avez déjà installé l'application , en cliquant sur un lien de réunion vous rejoindra automatiquement à l'appel avec votre caméra allumée. La caméra peut toutefois être désactivée si vous avez coché l'option «Éteindre ma vidéo lorsque je participe à une réunion».

Leitschuh avait initialement révélé la faille le 26 mars 2019, mais il a mentionné la première réunion sur la la vulnérabilité serait corrigée survenue le 11 juin 2019, 18 jours seulement avant la fin du délai de divulgation publique de 90 jours.

La chronologie de l'article de Medium montre que Zoom a corrigé la vulnérabilité le 21 juin. Mais une régression plus tôt ce mois-ci a provoqué la réapparition du bogue, ce qui a poussé Zoom à résoudre le problème hier.

“Zoom a finalement corrigé cette vulnérabilité, mais tout ce qu’ils ont fait a été empêcher l’attaquant d’allumer la caméra vidéo de l’utilisateur. Ils n'ont pas empêché un attaquant de se joindre de force à un appel lorsque quiconque visitait un site malveillant ", a écrit Leitschuh.

L'idée selon laquelle tout site Web que vous pourrez visiter à partir de Mac peut activer votre caméra vidéo via un zoom non autorisé. Appeler par défaut est alarmant. Zoom a répondu qu'il ne voyait pas «vidéo activée par défaut comme une faille de sécurité» et qu'il permettait aux utilisateurs de définir leurs propres préférences vidéo .