視訊會議軟體Zoom爆資安漏洞,蘋果出手更新刪除問題程式

2019.07.11 by
陳建鈞
@Nasdaq via Twitter
企業視訊會議軟體Zoom被爆有嚴重資安漏洞,任何網站都能未經允許將Mac用戶拉進視訊會議,並且開啟電腦鏡頭。

企業視訊會議軟體Zoom遭披露嚴重安全漏洞,任何網站都能擅自將Mac用戶拉進Zoom視訊會議,並強制開啟電腦鏡頭。現在蘋果(Apple)已針對Mac用戶發布更新,出手刪除問題Web伺服器。

Zoom一向以方便易用著稱,這項優勢讓它在競爭激烈的市場中嶄露頭角,用戶多達400萬人,橫跨全球75萬家公司。前陣子Zoom更以黑馬之姿在納斯達克掛牌上市,市值突破160億美元。

Zoom爆發資安漏洞,刪除軟體也沒用

Zoom透過在Mac上建立Web伺服器,讓用戶點擊網址就能啟動程式,加入視訊會議。然而這項便利的服務,如今卻引發嚴重的資安疑慮。

資安研究人員強納森.雷爵(Jonathan Leitschuh)本週曝光此漏洞,任何網站都能藉由在網頁中嵌入特定程式碼,在Mac用戶無意點擊時,強制將其加入Zoom視訊會議,並在未經用戶允許的情況下開啟鏡頭。

最糟糕的是,刪除Zoom也無濟於事,只要Web伺服器仍存在,有心人士依舊能透過此漏洞重新安裝應用程式,甚至操控電腦對他人發動DDoS攻擊。

Zoom漏洞能未經允許將用戶拉進視訊會議,同時擅自開啟鏡頭。
Twitter

雷爵在今年3月首次向Zoom披露這個漏洞,並給予該公司90天期限解決問題。雖然Zoom 4月初就對漏洞進行確認,但認為此漏洞風險不大,沒有積極進行處理。

另外,雷爵也向Chromium、FireFox資安團隊告知此漏洞,但由於問題不是出在瀏覽器上,開發人員也無能為力。

起初Zoom官方回應,在Mac用戶端設立本地Web伺服器,是為了對應Safari 12的更新,提供一鍵加入會議的辦法,增進消費者使用體驗;並澄清已在接獲通報後,封鎖被利用於DDoS攻擊的可能性,所以並不打算刪除本地Web伺服器。

但事情鬧大後,Zoom也改變態度,發布更新刪除本地Web伺服器,以及提供用戶解除安裝時移除伺服器的選項;並計劃7月12日再度推出安全更新,更改原先默認開啟視訊的設定。

Zoom於7月9日率先推出更新,刪除隱藏在電腦內的本地Web伺服器,並計劃12日再度更新視訊默認設定。
Twitter

Zoom資安長理查,法利(Richard Farley)堅持本地Web伺服器不像雷爵描述的具有高風險,但他們尊重外界的想法,決定在更新中刪除伺服器。他們不會改變能在網頁iframe中嵌入Zoom指令的功能,並聲稱許多企業用戶都會用到此項目。

保障用戶權益,蘋果出手刪除問題伺服器

值得一提的是,雖然Zoom已經發布更新,但蘋果依舊針對Mac用戶推出安全更新,自動將隱藏在電腦深處的Web伺服器刪除。顯然蘋果認為有部份用戶可能暫時不會打開Zoom,或者為軟體進行更新。

雖然蘋果時常悄悄推出更新,為用戶防護病毒或惡意軟體,但鮮少針對知名軟體採取行動。外媒《TechCrunch》指出,Zoom發言人普莉希拉.麥卡錫(Priscilla McCarthy)回應,他們很高興能與蘋果合作測試這次更新,並期望Web伺服器的問題能得到解決,同時承諾未來也會持續解決用戶任何擔憂。

Zoom並非唯一一款有此疑慮的視訊會議軟體,根據《The Verge》報導,BlueJeans也是利用類似的方法提供服務,不過該公司聲稱,旗下軟體僅允許透過官網連結啟動,解除安裝時也會徹底進行刪除,安全性相對有保障。

責任編輯:陳映璇

資料來源:The VergeTechCrunchWiredMedium

延伸閱讀

每日精選科技圈重要消息