Як хакери можуть зламати вебкамеру Apple Mac
Інженер з кібербезпеки Джонатан Лейтшух виявив помилку в системі відеодзвінків, яка не просто може надати зловмисникам доступ до інформації користувача на комп'ютері, а дозволяє управляти його вебкамерою.
У Zoom назвали вразливість "незначним ризиком", але оновили своє програмне забезпечення, щоб виправити проблему.
Джонатан Лейтшух розповів деталі помилки. Щоб активувати вебкамери користувачів, зловмисникам потрібно створити посилання-запрошення на конференцію і вбудувати його в код сайту.
Через вразливість система може дозволити будь-якому вебсайту приєднатися до відеодзвінка без дозволу власника камери.
При цьому локальний сервер Zoom працює на комп'ютері навіть після видалення програми. Він дозволяє повторно встановити програму під час переходу на сайт зі шкідливим кодом без будь-яких додаткових підтверджень.
У своєму блозі Джонатан Лейтшух пояснив, як вручну видалити уражений сервер.
За його словами, у групі ризику опинилися ті користувачі Apple Mac, які не змінювали налаштування для відключення відео під час приєднання до відеодзвінка.
Крім того, вдалося уникнути такої проблеми і комп'ютерам з ОС Windows, оскільки вони інакше обробляють посилання-запрошення на конференцію.
У своєму блозі інженер з кібербезпеки сказав, що вперше виявив помилку в кінці березня. Він зв'язався з Zoom і надав сервісу 90 днів на усунення проблеми, попередивши, що після цього оприлюднить інформацію про помилку.
Команда безпеки Zoom заявила, що теоретично хакери дійсно можуть скористатися вразливістю, щоб приєднатися до відеодзвінка без дозволу користувача, однак, підкреслила, що даних про те, що таке було, у них немає.
Zoom випустила оновлення, щоб усунути помилку. Компанія також планувала створити бонусну програму для користувачів і платити за виявлення системних недоліків.