視訊軟體 Zoom 被爆能讓不相干人等開鏡頭偷聽

作者 | 發布日期 2019 年 07 月 09 日 19:10 | 分類 資訊安全 follow us in feedly


不少家公司靠 Zoom 開視訊會議,打破距離透過網路開會溝通。如今傳出 Zoom Mac 程式有零時差漏洞,有高達 400 萬隻 Webcam 能被遠端開啟,共 750,000 家 Zoom 的企業用戶受到影響。

資安專家 Jonathan Leitschuh 在 Medium 發文警告 CVE-2019–13449 漏洞,指出該漏洞能允許人不斷進來視訊會議,進行 DDoS 攻擊,更糟的是移除 Mac 程式,由於仍留有 localhost,能夠在不知不覺之下,重新安裝 Zoom。前者的漏洞已修復,但後者仍然沒有。

2019 年 3 月 16 日,上述的漏洞被人揭露,現在仍不知道為何簡單的傳送會議連結給別人,別人打開之後,就可以輕易打開對方鏡頭,看到別人進行的會議,即便沒被受邀。Zoom 花了十天的時間確認該漏洞,並且開始進行修補,後來儘管 Zoom 修好了,但 Leitschuh 仍能輕易找到繞過去的方法。

對於不少人使用的 Zoom 來說,發生這麼大的事情,而且揭發後事件難以收拾實在是相當糟糕的事情。Mac 上的 Zoom 使用者,可以在 Zoom 的設定關閉會議中自動開 Webcam 的設定,但要把 localhost 的網頁服務關掉,則需要進命令列打指令了。

(首圖來源:Zoom)