Програмне забезпечення для відеоконференцій Zoom має більше проблем, ніж секретний веб-сервер на Mac. Навіть у Windows веб-сайти, які ви відвідуєте, можуть почати знімати вас без вашої згоди. Все, що вам потрібно зробити, це натиснути посилання. Ця проблема також стосується Mac.
Хоча попередні звіти, здавалося, вказували на те, що проблеми Zoom були специфічними для macOS, Windows також є вразливою. Якщо Zoom налаштовано на вмикання камери за замовчуванням під час зустрічей, хтось може вставити посилання Zoom на веб-сторінку і негайно почати записувати вас. Це працюватиме на Windows або Mac.
Збільшити наполягає це «не має жодних ознак того, що це коли-небудь відбувалося»—поки що. Компанія вважає це функцією та каже, що ви дали дозвіл на це, якщо ваш клієнт Zoom налаштовано на автоматичне вмикання веб-камери, коли ви приєднуєтеся до зустрічі.
Джонатан ЛейтшуВеб-сайт proof of concept демонструє це. Якщо у вас встановлено програмне забезпечення Zoom, і ви перейдете на веб-сайт, програмне забезпечення Zoom запуститься, автоматично приєднається до зустрічі та почне запис за допомогою веб-камери. У випадку з macOS ви побачите таку поведінку, навіть якщо раніше видалили Zoom, завдяки секретному веб-серверу Zoom залишає працювати після його видалення. Але навіть у Windows Zoom запуститься, якщо він у вас зараз встановлений.
Спочатку середній пост Джонатана Лейтчу, здавалося, припустив, що ця проблема існує лише в MacOS. Але у твіті він пояснив інше:
? КОРИСТУВАЧІВ WINDOWS ТА MAC?
Якщо ви коли-небудь ставили цей прапорець у будь-якому браузері, крім Safari, ви також уразливі. pic.twitter.com/FbG2efEe0R
— Джонатан Лейтшу (@JLLeitschuh) 9 липня 2019 року
Ми перевірили це, встановивши програмне забезпечення Zoom і відвідавши його веб-сайт для підтвердження концепції за допомогою Google Chrome.
Під час першого відвідування вам буде запропоновано відкрити програму Zoom — якщо у вас не встановлено Zoom. Якщо ви поставите прапорець «Завжди відкривати ці типи посилань у пов’язаному додатку», у вас проблеми. Це поле, яке майже будь-хто б поставив, щоб пропустити зайві кліки в майбутньому.
Наступного разу, коли ми відвідали веб-сайт, Zoom автоматично відкрився, приєднався до зустрічі та запустив нашу веб-камеру. Ми не натискали жодних підказок і не давали жодного схвалення. Без вашої взаємодії шкідливі сайти можуть легко записати вас, якщо у вас встановлено Zoom.
Ви бачите вікно масштабування, і зрозуміло, що вас записують. Однак шкідливий веб-сайт може зняти ваше відео, перш ніж ви зупините відеоконференцію.
Це величезна проблема. Ми рекомендуємо видалити Zoom, якщо ви не використовуєте його часто. Якщо вам потрібно його встановити, ви також можете перемкнути параметр «Вимкнути моє відео під час приєднання до зустрічі» на вкладці «Відео» у вікні налаштувань Zoom, щоб цього не сталося.
У macOS не забудьте перевірити наявність веб-сервера та видалити його.
На жаль, Zoom’s офіційна відповідь Ситуація, схоже, свідчить про те, що компанія вважає це особливістю, а не проблемою. Сподіваємося, незабаром він зрозуміє всю серйозність проблеми і змінить курс.