Загроза безпеці у Zoom: веб-сайти можуть таємно вмикати вашу камеру
Програмне забезпечення для відеоконференцій Zoom зіткнулося з новою проблемою, яка виходить за рамки виявленого раніше таємного веб-сервера на Mac. Виявляється, що навіть користувачі Windows можуть стати жертвами несанкціонованого відеоспостереження. Зловмисникам достатньо розмістити спеціальне посилання, щоб активувати вашу камеру без вашого відома.
Незважаючи на попередні повідомлення про те, що проблема стосується виключно macOS, останні дослідження підтверджують вразливість і Windows. Якщо в налаштуваннях Zoom активовано автоматичне ввімкнення камери під час зустрічей, будь-хто може вбудувати посилання на конференцію на веб-сторінку, що миттєво почне відеозапис користувача. Цей метод спрацьовує як на macOS, так і на Windows.
Представники Zoom заявляють, що “немає жодних підтверджень використання цієї вразливості”. Вони стверджують, що це є особливістю програми, а не недоліком, оскільки користувач, на їхню думку, дав згоду на автоматичне ввімкнення камери, коли активував цю опцію в налаштуваннях програми.
Розробник Джонатан Лейтшу продемонстрував на практиці цю проблему, створивши спеціальну веб-сторінку. Коли користувач, у якого встановлено Zoom, відвідує цю сторінку, програма автоматично запускається, приєднується до віртуальної зустрічі і починає запис з веб-камери. Навіть якщо користувач видаляв Zoom раніше на macOS, залишки прихованого веб-сервера забезпечують роботу цього механізму. Схожа ситуація спостерігається і на Windows, якщо Zoom встановлено.
Спочатку здавалося, що ця вразливість характерна лише для macOS, але пізніше Джонатан Лейтшу у своєму Twitter уточнив:
❓КОРИСТУВАЧІ WINDOWS ТА MAC❓
Якщо ви коли-небудь ставили цю галочку у будь-якому браузері, крім Safari, ви також уразливі. pic.twitter.com/FbG2efEe0R— Джонатан Лейтшу (@JLLeitschuh) 9 липня 2019 року
Для перевірки цієї вразливості, ми встановили Zoom і відвідали тестову веб-сторінку, використовуючи Google Chrome.
Під час першого відвідування сайт пропонує відкрити Zoom, якщо він не встановлений. Якщо користувач поставив галочку “Завжди відкривати посилання цього типу у відповідній програмі”, він стає вразливим. Це типова поведінка, оскільки більшість користувачів хотіли б уникнути зайвих підтверджень у майбутньому.
Під час наступного відвідування сайту Zoom автоматично відкрився, підключився до віртуальної зустрічі та увімкнув веб-камеру без жодних підтверджень від користувача. Таким чином, зловмисні веб-сайти можуть безперешкодно записувати відео з вашої камери, якщо у вас встановлено Zoom.
Хоча користувач бачить вікно Zoom, де відображається запис, зловмисник може почати запис ще до того, як ви встигнете зупинити відеоконференцію.
Ця ситуація є дуже серйозною. Рекомендується видалити Zoom, якщо ви не користуєтесь ним регулярно. Якщо ж Zoom необхідний, можна вимкнути опцію “Завжди вимикати моє відео під час приєднання до зустрічі” у налаштуваннях програми.
Користувачам macOS потрібно також перевірити наявність та видалити залишки веб-сервера Zoom.
На жаль, офіційна відповідь Zoom на цю проблему свідчить про те, що компанія розглядає це як функціональну особливість, а не як недолік. Сподіваємося, що вони переглянуть свою позицію і зрозуміють серйозність цієї ситуації.