LOADING ...

Une grave anomalie de sécurité avec l'application de téléconférence pourrait permettre à des sites Web de détourner des webcams de Mac

Tom McKay Jul 09, 2019. 5 comments

Lundi, le chercheur en sécurité Jonathan Leitschuh a dévoilé publiquement une vulnérabilité sérieuse du jour au lendemain dans le logiciel de conférence Zoom, qui fonctionne apparemment avec la fonctionnalité cliquer-rejoindre, qui permet aux utilisateurs de se rendre directement à une réunion vidéo à partir d'un lien de navigateur, sur les ordinateurs Mac en l'installation d'un serveur Web local fonctionnant en arrière-plan qui «accepte les requêtes que les navigateurs classiques ne feraient pas», selon Verge . En conséquence, tout site Web pourrait détourner Zoom pour obliger un utilisateur Mac à se joindre à un appel sans son autorisation et avec les webcams activées sauf si un paramètre spécifique était activé.

Pire encore, Leitschuh a écrit que le serveur Web local persiste même si Zoom est désinstallé et qu'il est capable de réinstaller l'application par lui-même, et que lorsqu'il a contacté la société, il n'a pas vraiment résolu le problème.

Dans une publication de lundi sur Medium , Leitschuh a présenté une démonstration sous la forme d'un lien qui, une fois cliqué, permettait aux utilisateurs de Mac ayant déjà installé l'application dans une salle de conférence avec leur caméra vidéo activée ( c'est ici, si vous devez essayer vous-même ) . Leitschuh a noté que le code permettant de le faire peut être intégré à n’importe quel site Web ainsi que «dans des publicités malveillantes, ou pourrait être utilisé dans le cadre d’une campagne de phishing». Le serveur Web persiste et «se fera un plaisir de réinstaller le client Zoom pour vous, sans aucune intervention de l'utilisateur en votre nom, hormis la visite d'une page Web».

Cette implémentation laisse ouverte d’autres moyens néfastes d’abuser du serveur Web local, par exemple:

Allumer votre caméra est déjà assez grave, mais l’existence du serveur Web sur leurs ordinateurs pourrait poser des problèmes plus importants aux utilisateurs de Mac. Par exemple, dans une ancienne version de Zoom (corrigée depuis), il était possible de déclencher une attaque par déni de service sur les Mac en envoyant constamment une requête ping au serveur Web: «En envoyant simplement des demandes GET répétées pour un numéro incorrect, l'application Zoom demandait constamment "focus" de l'OS ", écrit Leitschuh.

Selon Leitschuh, il aurait contacté Zoom le 26 mars, affirmant qu'il divulguerait l'exploit dans 90 jours. Zoom a publié un correctif «solution rapide» qui désactivait uniquement «la capacité d'un créateur de réunion d'activer automatiquement la vidéo d'un participant par défaut», a-t-il ajouté, bien que cette solution soit loin d'être complète (et ne nie en rien la «capacité d'un attaquant joindre de force à un appel toute personne visitant un site malveillant ») et n’est venu que vers la mi-juin.

Le 7 juillet, a-t-il écrit, une «régression du correctif» l'a rendu inutilisable et, bien que Zoom ait publié un nouveau correctif dimanche, il a pu créer une solution de contournement.

Pour résoudre le problème, Leitschuh conseille aux utilisateurs de Mac disposant de l'application installée de se mettre à jour vers la dernière version, puis de cliquer sur un bouton dans les paramètres pour «Désactiver ma vidéo lorsque je participe à une réunion», comme indiqué ci-dessus. Il a également fourni un ensemble de commandes Terminal pouvant désactiver le serveur Web local et l'empêcher de se réinstaller, ce qui peut être vu dans sa publication Medium.

«À mon avis, les sites Web ne devraient pas parler à des applications de bureau comme celle-ci», a averti Leitschuh. "Il existe un sandbox fondamental que les navigateurs sont supposés appliquer pour empêcher l'exécution de code malveillant sur les ordinateurs des utilisateurs ... Avoir chaque utilisateur de Zoom sur un serveur Web acceptant les requêtes HTTP GET qui déclenchent du code en dehors du sandbox du navigateur dessine un énorme cible au dos de Zoom. "

«En 2015, Zoom comptait plus de 40 millions d'utilisateurs », a conclu Leitschuh. «Étant donné que les Mac représentent 10% du marché des PC et que Zoom a connu une croissance importante depuis 2015, on peut supposer qu'au moins 4 millions d'utilisateurs de Zoom sont sur Mac ... Toutes les vulnérabilités décrites dans ce rapport peuvent être exploitées via 'drive Méthodologies "par attaque" ... Je pense que pour protéger pleinement les utilisateurs, je suis convaincu que cette solution de serveur Web localhost doit être supprimée. "

Zoom a doublé son implémentation de la fonctionnalité cliquer-rejoindre, par ZDnet , bien qu'il ait annoncé la publication de mises à jour supplémentaires.

Dans une déclaration sur le site, Zoom a écrit qu’il s’agissait d’une «solution de contournement» aux modifications apportées à Safari 12 et que l’exécution du serveur Web local en tant que processus en arrière-plan est une «solution légitime à une expérience utilisateur médiocre, permettant à nos utilisateurs d’avoir une rendez-vous en un clic, ce qui est notre principal différenciateur de produits. »Selon ZDNet, Zoom a également déclaré que cela permettrait aux utilisateurs de ne pas décider de désactiver la vidéo lors de leur premier appel et d'appliquer ce paramètre aux futures réunions.

[ ZDnet / The Verge ]

5 Comments

Other Tom McKay's posts

Le Pentagone dit que 34 soldats traités pour une lésion cérébrale traumatique après que Trump ait minimisé cela comme des `` maux de tête '' Le Pentagone dit que 34 soldats traités pour une lésion cérébrale traumatique après que Trump ait minimisé cela comme des `` maux de tête ''

La Maison Blanche a initialement minimisé les conséquences des frappes de missiles iraniens en représailles qui ont frappé des bases conjointes amér...

Le DOJ dit que le FBI a craqué l'iPhone 11 de Lev Parnas en deux mois alors qu'il exige une porte dérobée Apple Le DOJ dit que le FBI a craqué l'iPhone 11 de Lev Parnas en deux mois alors qu'il exige une porte dérobée Apple

Le ministère américain de la Justice a affirmé dans une lettre à un juge fédéral cette semaine qu'il avait fallu près de deux mois au FBI pour p...

Rapport: le prince héritier saoudien a personnellement envoyé des logiciels malveillants à Jeff Bezos, peut-être pour voler ces photos de Dick Rapport: le prince héritier saoudien a personnellement envoyé des logiciels malveillants à Jeff Bezos, peut-être pour voler ces photos de Dick

Voici une autre tournure dans le mystère de la façon dont les photos du PDG d'Amazon et du milliardaire propriétaire du Washington Post La bit...

Elon Musk: une nouvelle vie vous attend dans les colonies du monde extérieur - pour un prix Elon Musk: une nouvelle vie vous attend dans les colonies du monde extérieur - pour un prix

Le PDG de SpaceX, Elon Musk, qui a précédemment concédé que la plupart des personnes qu'il souhaite envoyer sur Mars doivent être préparées à ...

Suggested posts

Bouclez votre ceinture, Zuck, maintenant Joe Biden va pétitionner le diable de vous Bouclez votre ceinture, Zuck, maintenant Joe Biden va pétitionner le diable de vous

En janvier 2020, l'ancien vice-président et probablement candidat à la présidentielle démocrate Joe Biden est parti sur Facebook , affirmant qu'il de...

Rapport: Facebook a aidé la vulnérabilité d'exploitation du FBI dans une distribution Linux sécurisée pour Child Predator Sting Rapport: Facebook a aidé la vulnérabilité d'exploitation du FBI dans une distribution Linux sécurisée pour Child Predator Sting

Le personnel de sécurité et les ingénieurs de Facebook ont ​​aidé le FBI à traquer un prédateur enfant notoire en aidant une société tierce à dévelop...

Facebook va, Uhh, arrêter de promouvoir la chose de guerre de course «Boogaloo» Facebook va, Uhh, arrêter de promouvoir la chose de guerre de course «Boogaloo»

Facebook dit qu'il sévit encore plus contre les groupes liés au mouvement «Boogaloo», qui a un élan considérable parmi les miliciens d'extrême droit...

Le décret de Trump sur les médias sociaux est le pire type de conneries Le décret de Trump sur les médias sociaux est le pire type de conneries

Jeudi, Donald Trump a intensifié sa querelle insensée, écumante et principalement unilatérale avec Twitter et d'autres sociétés de médias sociaux qu'...

La Cour d'appel fédérale déclare que Facebook et Twitter ne conspirent pas pour réprimer les opinions des conservateurs La Cour d'appel fédérale déclare que Facebook et Twitter ne conspirent pas pour réprimer les opinions des conservateurs

Aujourd'hui, la Cour d'appel des États-Unis à Washington a rejeté une action en justice selon laquelle de grandes sociétés de technologie, dont Twitt...

Twitter ajoute une vérification des faits aux théories du complot de Trump sur la fraude électorale Twitter ajoute une vérification des faits aux théories du complot de Trump sur la fraude électorale

Twitter, au milieu d'une controverse sur son inaction sur Les tweets sans fondement de Donald Trump affirmant que l'hôte de MSNBC Joe Scarborough es...

Les législateurs demandent un vote pour empêcher le FBI de collecter l'historique des navigateurs Web sans mandat Les législateurs demandent un vote pour empêcher le FBI de collecter l'historique des navigateurs Web sans mandat

Le Congrès est sur le point d'adopter une loi qui remettrait plusieurs outils de surveillance puissants entre les mains des organismes fédéraux charg...

Un chef d'espionnage américain par intérim interrogé sur la capture sans mandat de l'historique de navigation Web des Américains Un chef d'espionnage américain par intérim interrogé sur la capture sans mandat de l'historique de navigation Web des Américains

Le sénateur américain Ron Wyden, parrain d'un récent amendement visant à empêcher le FBI de capturer les recherches et les historiques de navigation ...

Le pouvoir du FBI de saisir sans garantie l'historique de votre navigateur Web peut dépendre d'un seul démocrate Le pouvoir du FBI de saisir sans garantie l'historique de votre navigateur Web peut dépendre d'un seul démocrate

Les républicains et les démocrates plongés dans une lutte pour l'avenir de la vie privée en Amérique affirment que le soutien public d'un démocrate i...

Vente de 1,1 milliard de dollars du registre .Org à des sangsues de capital-investissement votées par l'ICANN Vente de 1,1 milliard de dollars du registre .Org à des sangsues de capital-investissement votées par l'ICANN

Quelque chose de bien s'est produit pour une fois: Internet Corp for Assigned Names and Numbers a voté pour bloquer son organisation partenaire, l'In...

Language