Из-за уязвимости хакеры могли обойти защиту и убедить установщика приложения загрузить и запустить вредоносное ПО
использование без трения привело к ряду дыр в безопасности программного обеспечения в последние годы. Фотография: Martin Bureau/AFP/Getty Images
Пользователи Zoom на компьютерах Mac должны обновить приложение после того, как компания выпустила исправление, устраняющее уязвимость в системе безопасности, позволяющую злоумышленнику завладеть их компьютерами. .
Исправление в конечном итоге будет развернуто автоматически, но пользователи могут и должны установить его сразу после открытия приложения, щелкнув Zoom.us в строке меню в левом верхнем углу экран, а затем выберите «Проверить наличие обновлений».
Обнаруженная независимым исследователем безопасности Патриком Уордлом, чей брат Джереми изобрел популярную игру Wordle, уязвимость была впервые представлена на хакерской конференции Def Con в Лас-Вегасе на прошлой неделе.
Подпишитесь на бесплатный еженедельный бюллетень TechScape
Еженедельный обзор Алекса Херна о том, как технологии влияют на нашу жизнь
Примечание о конфиденциальности: Информационные бюллетени могут содержать информацию о благотворительных организациях, интернет-рекламе и контенте, финансируемом сторонними организациями. Для получения дополнительной информации см. нашу Политику конфиденциальности. Мы используем Google reCaptcha для защиты нашего веб-сайта, и применяются Политика конфиденциальности и Условия использования Google.
Он предназначен для установщика Zoom, который компания использует для обеспечения бесперебойного автоматического обновления. Чтобы упростить работу пользователя, программа установки продолжает работать в фоновом режиме с момента, когда пользователь впервые устанавливает Zoom, и делает это с правами «суперпользователя», что позволяет ему что-либо менять в компьютере.
Обычно компания пытается обеспечить безопасность, ограничивая установщик работать только с кодом, который был криптографически подписан Zoom, но ошибка, обнаруженная Wardle, означает, что злоумышленник может тривиально обойти эту защиту и убедить установщика загрузить и запустить любое вредоносное ПО, которое они хотят.
Это не первый случай, когда фокус Zoom на бесперебойном использовании приводит к дыре в безопасности. В апреле 2020 года, когда удаленная работа из-за пандемии привела к увеличению ежедневного трафика на страницу загрузки Zoom на 500%, некоторые критики назвали программное обеспечение компании «катастрофой конфиденциальности» и даже вредоносным ПО.
Желание компании быть самым простым способом присоединения к видеозвонкам привело к тому, что она стремилась обойти меры безопасности, защищающие компьютер пользователя. Известно, что в 2019 году Zoom установил скрытый веб-сервер на пользовательские устройства, чтобы попытаться включить соединение вызовов одним щелчком мыши, а в 2020 году была обнаружена ошибка, позволяющая злоумышленникам превратить Mac в удаленное шпионское устройство. Zoom также заявил, что использовал сквозное шифрование для защиты вызовов, прежде чем признать, что он этого не делал.
Свежие комментарии