אפליקציית ועידת וידאוזוםיש ליקוי אבטחה גדול בלקוח ה-Mac שלו, המאפשר לכל אתר להפעיל את המצלמה של ה-Mac שלך ללא אזהרה, טוען חוקר האבטחה Jonathan Leitschuh.

ב אפוסט בבלוגביום שני, Leitschuh פירט את הפגיעות, שלדבריו חשף בפני Zoom לפני יותר מ-90 יום, והחברה עדיין לא תיקנה אותה.

הבעיה נעוצה בשימוש של Zoom בשרת אינטרנט במכונות המקומיות של המשתמשים. זה מאפשר כמה מהתכונות המגניבות של Zoom, למשל, לחיצה על קישור פשוט בדפדפן האינטרנט שלך מפעילה את האפליקציה באופן אוטומטי.

התקנת אפליקציה והפעלת שרת אינטרנט במחשב של משתמש עם ממשק API לא מתועד "מרגיש מסורבל להפליא", אומר Leitschuh. אבל יש עוד. לדברי Leitschuh, "שרת האינטרנט הזה יכול לעשות הרבה יותר מאשר רק להפעיל פגישת זום. (...) שרת האינטרנט הזה יכול גם להתקין מחדש את אפליקציית Zoom אם משתמש הסיר אותה".

זה רע כשלעצמו, אבל Leitschuh גילה פגיעות שאפשרה לו להפעיל שיחת זום, עם וידאו מופעל, במחשב של משתמש ללא רשות. אותה נקודת תורפה מאפשרת לתוקף לבצע התקפה מסוג DOS (מניעת שירות) על מחשב של משתמש.

Leitschuh אומר שהוא יצר קשר עם Zoom ב-26 במרץ, והציע לחברה פתרון מהיר לפגיעות. לאחר הרבה הלוך ושוב, זום תיקנה חלקית את הפגם, אך Leitschuh הצליחה לעקוף את התיקון שלהם, ולאחר מכן החברה לא הציעה תיקון נוסף. בעיית האבטחה עדיין קיימת בגרסה האחרונה של Zoom for Mac, 4.4.4.

ב אפוסט בבלוגביום שני, Zoom הגנה על הפונקציונליות של האפליקציה שלה, בטענה שמשתמשים מתבקשים לכבות את הסרטון שלהם כשהם מצטרפים לפגישה הראשונה שלהם, ויכולים לכבות את הסרטון בפגישות הבאות; אם הם יעשו זאת, זה יהיה בלתי אפשרי עבור המארח או משתתפים אחרים להפעיל את המצלמה שלהם. יתרה מכך, טוענת Zoom, "מכיוון שממשק המשתמש של לקוח Zoom פועל בחזית בעת ההשקה, יהיה ברור למשתמש כי הוא הצטרף בטעות לפגישה והוא יכול לשנות את הגדרות הווידאו שלו או לעזוב מיד."

החברה אמרה שהם יתנו למשתמשים שליטה רבה יותר על הגדרות הווידאו שלהם במהדורה הקרובה של יולי 2019.

החברה מתייחסת גם לנוכחות שרת האינטרנט במכונות המשתמש, ואומרת כי מדובר ב"עקיפה לשינוי שהוצג ב-Safari 12" ו"פתרון לגיטימי לבעיית חווית משתמש גרועה".

זום העריכה שגם בעיית שיחת הווידאו וגם בעיית ה-DOS היו "בסיכון נמוך", וזו הסיבה שהחברה החליטה לא לשנות את הפונקציונליות של האפליקציה. החברה גם הבטיחה שתשיק תוכנית לגילוי פגיעות ציבורית ב"שבועות הקרובים".

השאלה העיקרית שמשתמשים צריכים לשאול את עצמם היא האם הם רוצים להקריב את אבטחת המערכת שלהם עבור קצת פונקציונליות נוספת - סביר להניח, פונקציונליות שהם יכולים לחיות בלעדיה. היכולת של Zoom להתקין את עצמה מחדש ללא אישור משתמש לאחר הסרת ההתקנה מדאיגה במיוחד. מכיוון שאין תיקון רשמי לבעיה, אתה יכול להסיר את שרת האינטרנט של Zoom מהמחשב שלך על ידי ביצוע השלבים המתוארים ב- Leitschuhשֶׁלְאַחַר.