EN
هشدار محققان درباره

نقص امنیتی در نرم‌افزار Zoom به وب‌سایت‌ها مخرب اجازه دسترسی به وب‌کم‌ در مک می‌دهد

براساس گزارش‌های منتشر شده، وجود یک آسیب‌پذیری بحرانی در نرم‌افزار تماس ویدیویی زوم (Zoom) باعث می‌شود که هر وب‌سایتی که کاربر از آن بازدید می‌کند، مانند وب‌سایت‌های مخرب، بدون اجازه آن‌ها به وب‌کم دستگاه‌ها در سیستم عامل مک دسترسی یابند.
  1. سرتفا»
  2. آخرین خبرها»
  3. آسیب‌پذیری‌ها
۱۹ تیر ۱۳۹۸
نقص امنیتی در نرم‌افزار Zoom

نرم‌افزار زوم یکی از محبوب‌ترین پلتفرم‌های تماس صوتی، ویدیویی و به اشتراک‌گذاری صفحه مبتنی بر فضای ابری است که کاربران در آن می‌توانند گفت‌وگوهای گروهی را میزبانی کنند، دوره‌های آنلاین تدریس کنند یا به جلسات مجازی بپیوندند.

روز گذشته جاناتان لیتچو، محقق امنیتی با انتشار یک پست از جزئیات مربوط به این نقص بحرانی در نرم‌افزار زوم در کامپیوتر‌های مک خبر داده و اشاره کرده است که این آسیب‌پذیری در صورت ترکیب با یک نقص دیگر، می‌تواند به مهاجمان اجازه دهد کد‌های مخرب را از راه دور روی سیستم قربانیان خود اجرا کنند.

جاناتان این آسیب‌پذیری امنیتی را ۹۰ روز پیش به شرکت توسعه‌دهنده این نرم‌افزار گزارش داده بود، اما تیم زوم در انتشار یک اصلاحیه امنیتی مناسب موفق نبود و در حال حاضر امنیت و حریم خصوصی بیش از ۴ میلیون کاربر این نرم‌افزار در خطر است.

این آسیب‌پذیری از قابلیت click-to-join نرم‌افزار استفاده می‌کند. این قابلیت برای فعال کردن خودکار برنامه زوم در سیستم طراحی شده و به شرکت‌کنندگان اجازه می‌دهد پس از کلیک روی لینک دعوت از طریق مرورگر وارد جلسات ویدیویی شوند.

مهاجم برای بهره‌برداری از این آسیب‌پذیری باید از طریق حساب خود در نرم‌افزار زوم یک لینک دعوت ایجاد کرده و آن را در قالب یک image tag یا iFrame در یک وب‌سایت شخص ثالث جاسازی کند و در نهایت کاربر را برای بازدید از آن وب‌سایت قانع کند. زمانی که کاربران نرم‌افزار زوم از وب‌سایت‌های مخرب بازدید کنند، برنامه زوم توسط وب‌سایت باز شده و وب‌کم فعال می‌شود.

اما مشکل اینجاست که از آن‌جایی که قابلیت click-to-join همچنین فرمانی دریافت می‌کند که به‌طور خودکار نرم‌افزار زوم را مجددا بدون اجازه کاربر نصب کند، پس حذف برنامه برای خلاص شدن از این مشکل کافی نخواهد بود. همچنین این آسیب‌پذیری علاوه بر روشن کردن وب‌کم می‌تواند با ارسال تعداد زیادی درخواست GET به سرور محلی در حملات DoS نیز مورد استفاده قرار گیرد.

جاناتان لیتچو در همین رابطه گفته است که تیم زوم برای اصلاح این آسیب‌پذیری، نهایت کاری که انجام داده است، جلوگیری از روشن کردن وب‌کم کاربر توسط مهاجمان بوده و آن‌ها قابلیت پیوند کاربران به تماس‌های ویدیویی را برای مهاجمان غیرفعال نکرده‌اند و در حال حاضر این آسیب‌پذیری روی آخرین نسخه برنامه زوم (۴.۴.۴) در سیستم‌عامل مک تاثیر می‌گذارد. 

 

پاسخ شرکت زوم به اخبار منتشر شده

شرکت زوم با انتشار یک بیانیه وجود نقص‌های امنیتی در این برنامه را تایید کرده و گفته است که از آن‌جایی که نرم‌افزار زوم در پیش‌زمینه اجرا می‌شود، کاربر سریعا متوجه خواهد شد که به‌طور ناخواسته وارد یک تماس ویدیویی شده و می‌تواند سریعا تماس را ترک کند یا تنظیمات مربوط به تماس ویدیویی را تغییر دهد.
علاوه بر این، این شرکت اظهار کرده است که تا این لحظه هیچ شواهدی مبنی بر بهره‌برداری از این نقص وجود ندارد. شرکت زوم همچنین نگرانی‌های دیگر مربوط به این نر‌م‌افزار را تایید کرده و توضیح داده است که آسیب‌پذیری DOS گزارش شده توسط جاناتان قبلا در ماه مه ۲۰۱۹ اصلاح شده بود، اما از آن‌جایی که این شرکت عقیده دارد این آسیب‌پذیری کم خطر است، پس از اصلاح آن از کاربران درخواست به‌روزرسانی نرم‌افزار را نکرده است.

 

راه‌حل مقابله با این آسیب‌پذیری به‌صورت موقت

چناچه کاربر برنامه Zoom در سیستم عامل مک هستید، تا زمانی که این نقص امنیتی اصلاح نشده است، توصیه می‌شود روشن بودن وب‌کم دستگاه در زمان ورود به جلسات زوم را از بخش تنظیمات آن غیرفعال کنید.

تنظیمات برنامه زوم

برای انجام این کار وارد بخش تنظیمات برنامه شده و گزینه «Turn off my video when joining a meeting» را فعال کنید.

 

 

توضیحات بیشتر در:

Flaw in Zoom Video Conferencing Software Lets Websites Hijack Mac Webcams

 

 

آسیب‌پذیری|حریم خصوصی

به اشتراک بگذارید

بازگشت به بالا

سرویس S3 هدف هکرهای گروه Magecart
جریمه ۱۸۳ میلیون پوندی بریتیش ایرویز