Kalendář
  • 1.12.2019Black Hat Europe
  • 8.12.2019HACK-IT-N
  • 8.12.2019EEE International Workshop on Information Forensics and Security
  • 9.12.2019FutureCon Nashville Cyber Security Conference
AEC v1.0.4

Kyber bezpecnost
@Kyberbezpecnost.cz

Software Zoom pro macOS umožňoval sledovat uživatele

12. 7. 2019

Software Zoom pro pořádání videokonferencí v rámci usnadnění používání ve verzi macOS provozoval vlastní webserver. Umožňoval tím připojení k videokonferenci pouhým klikem na odkaz a nevyžadoval potvrzení spuštění aplikace. Toto usnadnění života uživatelů ale přineslo závažný bezpečnostní problém. Stačí totiž uživatele přimět k návštěvě stránky, která v URL obsahuje také kód videokonference a útočník získá přístup k obrazu z kamery a zvuku z mikrofonu. Nepomáhá přitom ani jednoduchá odinstalace aplikace Zoom. Webový server totiž zůstává běžet v pozadí. Je nutné jeho proces ukončit a pak teprve aplikaci odinstalovat. Zoom nejprve funkci webserveru obhajoval uživatelskou přívětivostí, pak přistoupil k jeho odstranění v rámci updatu. Nakonec na situaci zareagoval sám Apple, když Zoom webserver začal odstraňovat samotný antivirový nástroj vestavěný v macOS.

Share Button

Komentáře