LOADING ...

Une grave anomalie de sécurité avec l'application de téléconférence pourrait permettre à des sites Web de détourner des webcams de Mac

Tom McKay Jul 09, 2019. 5 comments

Lundi, le chercheur en sécurité Jonathan Leitschuh a dévoilé publiquement une vulnérabilité sérieuse du jour au lendemain dans le logiciel de conférence Zoom, qui fonctionne apparemment avec la fonctionnalité cliquer-rejoindre, qui permet aux utilisateurs de se rendre directement à une réunion vidéo à partir d'un lien de navigateur, sur les ordinateurs Mac en l'installation d'un serveur Web local fonctionnant en arrière-plan qui «accepte les requêtes que les navigateurs classiques ne feraient pas», selon Verge . En conséquence, tout site Web pourrait détourner Zoom pour obliger un utilisateur Mac à se joindre à un appel sans son autorisation et avec les webcams activées sauf si un paramètre spécifique était activé.

Pire encore, Leitschuh a écrit que le serveur Web local persiste même si Zoom est désinstallé et qu'il est capable de réinstaller l'application par lui-même, et que lorsqu'il a contacté la société, il n'a pas vraiment résolu le problème.

Dans une publication de lundi sur Medium , Leitschuh a présenté une démonstration sous la forme d'un lien qui, une fois cliqué, permettait aux utilisateurs de Mac ayant déjà installé l'application dans une salle de conférence avec leur caméra vidéo activée ( c'est ici, si vous devez essayer vous-même ) . Leitschuh a noté que le code permettant de le faire peut être intégré à n’importe quel site Web ainsi que «dans des publicités malveillantes, ou pourrait être utilisé dans le cadre d’une campagne de phishing». Le serveur Web persiste et «se fera un plaisir de réinstaller le client Zoom pour vous, sans aucune intervention de l'utilisateur en votre nom, hormis la visite d'une page Web».

Cette implémentation laisse ouverte d’autres moyens néfastes d’abuser du serveur Web local, par exemple:

Allumer votre caméra est déjà assez grave, mais l’existence du serveur Web sur leurs ordinateurs pourrait poser des problèmes plus importants aux utilisateurs de Mac. Par exemple, dans une ancienne version de Zoom (corrigée depuis), il était possible de déclencher une attaque par déni de service sur les Mac en envoyant constamment une requête ping au serveur Web: «En envoyant simplement des demandes GET répétées pour un numéro incorrect, l'application Zoom demandait constamment "focus" de l'OS ", écrit Leitschuh.

Selon Leitschuh, il aurait contacté Zoom le 26 mars, affirmant qu'il divulguerait l'exploit dans 90 jours. Zoom a publié un correctif «solution rapide» qui désactivait uniquement «la capacité d'un créateur de réunion d'activer automatiquement la vidéo d'un participant par défaut», a-t-il ajouté, bien que cette solution soit loin d'être complète (et ne nie en rien la «capacité d'un attaquant joindre de force à un appel toute personne visitant un site malveillant ») et n’est venu que vers la mi-juin.

Le 7 juillet, a-t-il écrit, une «régression du correctif» l'a rendu inutilisable et, bien que Zoom ait publié un nouveau correctif dimanche, il a pu créer une solution de contournement.

Pour résoudre le problème, Leitschuh conseille aux utilisateurs de Mac disposant de l'application installée de se mettre à jour vers la dernière version, puis de cliquer sur un bouton dans les paramètres pour «Désactiver ma vidéo lorsque je participe à une réunion», comme indiqué ci-dessus. Il a également fourni un ensemble de commandes Terminal pouvant désactiver le serveur Web local et l'empêcher de se réinstaller, ce qui peut être vu dans sa publication Medium.

«À mon avis, les sites Web ne devraient pas parler à des applications de bureau comme celle-ci», a averti Leitschuh. "Il existe un sandbox fondamental que les navigateurs sont supposés appliquer pour empêcher l'exécution de code malveillant sur les ordinateurs des utilisateurs ... Avoir chaque utilisateur de Zoom sur un serveur Web acceptant les requêtes HTTP GET qui déclenchent du code en dehors du sandbox du navigateur dessine un énorme cible au dos de Zoom. "

«En 2015, Zoom comptait plus de 40 millions d'utilisateurs », a conclu Leitschuh. «Étant donné que les Mac représentent 10% du marché des PC et que Zoom a connu une croissance importante depuis 2015, on peut supposer qu'au moins 4 millions d'utilisateurs de Zoom sont sur Mac ... Toutes les vulnérabilités décrites dans ce rapport peuvent être exploitées via 'drive Méthodologies "par attaque" ... Je pense que pour protéger pleinement les utilisateurs, je suis convaincu que cette solution de serveur Web localhost doit être supprimée. "

Zoom a doublé son implémentation de la fonctionnalité cliquer-rejoindre, par ZDnet , bien qu'il ait annoncé la publication de mises à jour supplémentaires.

Dans une déclaration sur le site, Zoom a écrit qu’il s’agissait d’une «solution de contournement» aux modifications apportées à Safari 12 et que l’exécution du serveur Web local en tant que processus en arrière-plan est une «solution légitime à une expérience utilisateur médiocre, permettant à nos utilisateurs d’avoir une rendez-vous en un clic, ce qui est notre principal différenciateur de produits. »Selon ZDNet, Zoom a également déclaré que cela permettrait aux utilisateurs de ne pas décider de désactiver la vidéo lors de leur premier appel et d'appliquer ce paramètre aux futures réunions.

[ ZDnet / The Verge ]

5 Comments

Other Tom McKay's posts

L'accord Fitbit de Google aurait été examiné par le DOJ Antitrust Office L'accord Fitbit de Google aurait été examiné par le DOJ Antitrust Office

Google's Accord de 2,1 milliards de dollars à acq fabricant de tracker fitness uire Fitbit a a attiré l'attention des responsables de l'application des lois antitrust au ministère de la Justice, selon des rapports qui ont fait leur apparition dans le tabloïd du New York Post et ont ensuite été vérifiés par Reuters . La Division antitrust du ministère...

Ajouter des roues au nouveau Mac Pro d'Apple coûte 400 dollars Ajouter des roues au nouveau Mac Pro d'Apple coûte 400 dollars

Le nouveau Mac Pro d' Apple et le XDR Pro Display 32 pouces de 6 pouces, dont les modèles de base se vendent respectivement à 6 000 $ et 5 000 $, un ré disponible à la vente dès aujourd'hui . Beaucoup de hullaboo a été fait sur la façon dont l'écran nécessite l'achat supplémentaire d'un $ 999 Pro...

Je veux ça sur un t-shirt Je veux ça sur un t-shirt

Les artistes sur Twitter disent que leur travail est régulièrement volé par des armées de robots qui génèrent des t-shirts à partir de designs populaires - et ils ont les reçus pour le prouver. Voici l'arnaque: les bots liés aux plates-formes de vente de t-shirts populaires semblent explorer Twitter pour trouver des réponses aux artistes qui mentionnent des phrases...

Pro-Trump Goof évite les questions sur les tweets d'impeachment Trump en prenant un faux appel téléphonique Pro-Trump Goof évite les questions sur les tweets d'impeachment Trump en prenant un faux appel téléphonique

Le représentant du GOP, John Ratcliffe, a tenté d'esquiver les journalistes en dehors des audiences de destitution contre Donald Trump en faisant semblant de prendre un appel urgent, même si l'écran d'accueil de son téléphone était clairement visible et qu'il était évident qu'il se promenait dans le vide, a rapporté Politico vendredi. Ratcliffe, un ardent allié de Trump ,...

Suggested posts

L'accord Fitbit de Google aurait été examiné par le DOJ Antitrust Office L'accord Fitbit de Google aurait été examiné par le DOJ Antitrust Office

Google's Accord de 2,1 milliards de dollars à acq fabricant de tracker fitness uire Fitbit a a attiré l'attention des responsables de l'application des lois antitrust au ministère de la Justice, selon des rapports qui ont fait leur apparition dans le tabloïd du New York Post et ont ensuite été vérifiés par Reuters . La Division antitrust du ministère...

Ajouter des roues au nouveau Mac Pro d'Apple coûte 400 dollars Ajouter des roues au nouveau Mac Pro d'Apple coûte 400 dollars

Le nouveau Mac Pro d' Apple et le XDR Pro Display 32 pouces de 6 pouces, dont les modèles de base se vendent respectivement à 6 000 $ et 5 000 $, un ré disponible à la vente dès aujourd'hui . Beaucoup de hullaboo a été fait sur la façon dont l'écran nécessite l'achat supplémentaire d'un $ 999 Pro...

Apple repousse alors que la poussée anti-cryptage cauchemardesque du Sénat revient d'entre les morts Apple repousse alors que la poussée anti-cryptage cauchemardesque du Sénat revient d'entre les morts

L'énorme fissure qui s'est formée il y a des décennies dans le débat américain sans mort sur le cryptage s'est avérée insurmontable mardi. Les législateurs du Sénat ont eu du mal à se faire entendre sur le sujet très important par les deux combinaisons technologiques qu'ils ont invitées principalement dans le but de servir de sacs de boxe. Censément...

Vous pouvez commander le Mac Pro d'Apple et son écran Killer cette semaine Vous pouvez commander le Mac Pro d'Apple et son écran Killer cette semaine

La bête d'une machine très attendue d'Apple, le Mac Pro, et son nouvel écran badass correspondant, le Pro Display XDR, seront disponibles à la commande le 10 décembre, par une promotion que la société a envoyée aux clients. Repérée par l'utilisateur de Twitter Marques Brownlee, l'annonce n'offre aucun autre détail sur la façon dont Apple prévoit de déployer son...

Je veux ça sur un t-shirt Je veux ça sur un t-shirt

Les artistes sur Twitter disent que leur travail est régulièrement volé par des armées de robots qui génèrent des t-shirts à partir de designs populaires - et ils ont les reçus pour le prouver. Voici l'arnaque: les bots liés aux plates-formes de vente de t-shirts populaires semblent explorer Twitter pour trouver des réponses aux artistes qui mentionnent des phrases...

Amazon confronté à la chaleur des sénateurs suite aux pratiques de sécurité en vigueur Amazon confronté à la chaleur des sénateurs suite aux pratiques de sécurité en vigueur

Citant le risque que des images sensibles "détaillant la vie de millions d'Américains" tombent entre les mains de pirates informatiques et d'espions étrangers, un groupe de législateurs américains demande à en savoir plus sur la manière dont Ring, la société de sécurité domestique d'Amazon, protège ses clients ' Les données. Dans une lettre adressée mercredi au directeur général d'Amazon,...

Pro-Trump Goof évite les questions sur les tweets d'impeachment Trump en prenant un faux appel téléphonique Pro-Trump Goof évite les questions sur les tweets d'impeachment Trump en prenant un faux appel téléphonique

Le représentant du GOP, John Ratcliffe, a tenté d'esquiver les journalistes en dehors des audiences de destitution contre Donald Trump en faisant semblant de prendre un appel urgent, même si l'écran d'accueil de son téléphone était clairement visible et qu'il était évident qu'il se promenait dans le vide, a rapporté Politico vendredi. Ratcliffe, un ardent allié de Trump ,...

Motorola ramène le téléphone Flip avec un périphérique Razr tout-affichage Motorola ramène le téléphone Flip avec un périphérique Razr tout-affichage

Motorola ramène le téléphone flip, bébé: mercredi, Verizon a annoncé le lancement d'un nouveau téléphone Razr avec un écran pliable de 6,2 pouces qui passe à la moitié de sa taille. ( Mais pas avant une journée de fuites .) Selon un communiqué de presse de Verizon , le nouveau Motorola Razr atteindra le prix exorbitant de 1 500...

Apple TV + Exec Kim Rozenfield sortira quelques semaines seulement après son lancement Apple TV + Exec Kim Rozenfield sortira quelques semaines seulement après son lancement

Apple TV + l'exécutif Kim Rozenfield est sorti quelques semaines seulement après le 5 $ par mois débuts du service de streaming , a rapporté lundi le Hollywood Reporter . Rozenfield, un vétéran de la télévision rapidement recruté sur Apple TV + par les chefs de programmation Zack Van Amburg et Jamie Erlicht , quitte son rôle de chef...

Le NTSB découvre la voiture auto-conduite d'Uber dans une victime d'un accident mortel, mais n'a pas été programmé pour gérer des Jaywalkers Le NTSB découvre la voiture auto-conduite d'Uber dans une victime d'un accident mortel, mais n'a pas été programmé pour gérer des Jaywalkers

Les enquêteurs fédéraux ont déterminé une voiture autonome Uber qui a tué 49 ans Elaine Herzberg En mars 2018, à Tempe, en Arizona, il manquait de programmes pour reconnaître la présence de geawalkers sur la route ou pour y réagir, a fait savoir Bloomberg mardi . Le National Transportation Safety Board (NTSB) des États-Unis a publié 400 pages de...

Language