Jeder Mac mit der Zoom-Telekonferenz-App kann jetzt ausspioniert werden. Ja, es ist ein schlechter Tag für die Apple-Sicherheit, da bösartige Websites so codiert werden können, dass sie aus der Ferne eine Videokonferenz auf Ihrem Mac starten – und der Angriff kann sogar per E-Mail gesendet werden.
Diese Nachricht, die der Sicherheitsforscher Jonathan Leitschuh veröffentlicht hat, zeigt, dass selbst Macs, auf denen Zoom nicht mehr installiert ist, aber einmal installiert ist, anfällig sind. Die gute Nachricht ist jedoch, dass es Lösungen gibt (eine ist jedoch ernsthaft schwierig), und Zoom scheint alles bald zu beheben.
Was nun
Die Lösung scheint, dank der Änderung der Haltung von Zoom, so einfach zu sein, wie das Akzeptieren von Zoom-Updates, sobald sie eintreffen. In einem Update des großen Blog-Posts von Zoom über den Fehler gab das Unternehmen bekannt, dass heute Abend (9. Juli) um oder vor 3 Uhr EST / Mitternacht PST ein Patch kommt. Die Benutzer werden aufgefordert, die App zu aktualisieren, und dass nach Abschluss der Aktualisierung "der lokale Webserver vollständig von diesem Gerät entfernt wird".
Das Update soll auch den Deinstallationsvorgang verbessern. In dem Beitrag von Zoom heißt es: "Wir fügen der Zoom-Menüleiste eine neue Option hinzu, die es Benutzern ermöglicht, den Zoom-Client, einschließlich des lokalen Webservers, manuell und vollständig zu deinstallieren."
Wir sind gespannt, ob Jonathan Leitschuh und andere Sicherheitsforscher der Meinung sind, dass Zoom eine gründliche und ordnungsgemäße Arbeit leistet.
Um Ihren Mac zu schützen, öffnen Sie Einstellungen für Zoom – klicken Sie in der Menüleiste auf Zoom, dann auf Einstellungen – und öffnen Sie den Abschnitt Video. Aktivieren Sie dann das Kontrollkästchen neben "Mein Video beim Beitritt zu einem Meeting deaktivieren".
Leitschuh teilte in seinem Beitrag auch Code für die Nutzung im Terminal. Diese Anweisungen werden etwas kompliziert und sind am besten für technisch versierte Benutzer geeignet, die es bevorzugen würden. Diese Tipps werden gemacht, um den Webserver zu beseitigen, den Zoom auf dem Mac erstellt.
Wie es funktioniert
Ja, das ist alles möglich, weil Zoom heimlich einen Webserver auf Macs installiert, der Anfragen empfängt und akzeptiert, die Ihre Webbrowser nicht würden. Leitschuh erklärte, dass er versucht habe, mit Zoom zusammenzuarbeiten, und sich im vergangenen März an das Unternehmen gewandt habe, dass seine "Lösungen jedoch nicht ausreichten, um ihre Benutzer vollständig zu schützen".
Außerdem sind, wie bereits erwähnt, selbst Benutzer, die Zoom von ihren Macs deinstalliert haben, anfällig. Leitschuh erklärt, dass der von Zoom installierte Webserver auch nach dem Entfernen des Programms zurückbleibt und dass der Server aus der Ferne ausgelöst werden kann, um die neueste Version von Zoom zu aktualisieren und automatisch zu installieren.
Oh, und ein Opfer muss nicht einmal dazu gebracht werden, eine Webseite zu öffnen. Zunächst einmal hat der Vimeo-Benutzer "fun jon" einen Videobeweis gepostet, dass Sie diesen Fehler per E-Mail angreifen können und das Ziel nicht einmal die Nachricht öffnen muss. Sie müssen nur eine E-Mail-Client-App verwenden, die die böswillig codierte Nachricht herunterlädt.
Nachdem Leitschuh mit Zoom gestritten hatte und dem Unternehmen behauptet hatte, dass es eine "eigenständige Sicherheitslücke" sei, "einem Gastgeber zu entscheiden, ob ein Teilnehmer automatisch mit Video beitreten soll oder nicht", widersprach das Unternehmen und positionierte seine Entscheidung als Pro-Benutzer: "Zoom glaubt daran, unseren Kunden die Möglichkeit zu geben, zu wählen, wie sie Zoomen möchten."
Möchten Sie es selbst sehen?
Wenn Sie jemals Zoom auf Ihrem Computer hatten, können Sie dies selbst sehen.
Durchsuchen Sie Leitschuhs Blog-Post nach dem Begriff "zoom_vulnerability_poc/" - denn das ist der Link zu seinem Proof of Concept, der einen Zoom-Aufruf startet. Die erste ist eine reine Audio-Version; Der zweite Link, der 'iframe' in der URL enthält, startet einen Anruf mit aktivem Video.
Diese Zoom-Sicherheitslücke ist banal. Ich habe einen der Proof-of-Concept-Links ausprobiert und mich mit drei anderen Randos verbunden, die ebenfalls in Echtzeit ausgeflippt sind. https://t.co/w7JKHk8nZypic.twitter.com/arOE6DbQaf - Matt Haughey (@mathowie) 9. Juli 2022-2023
Dieser Artikel erschien ursprünglich auf Tom's Guide.
- macOS Catalina Beta-Überprüfung
- Ich habe eine Maus mit iPadOS verwendet und so funktioniert es
- iPadOS Beta-Rezension