חוקר אבטחה חשף ביום שני פגם של אפס יום - והשימוש המפוקפק בשרת מארח מקומי - בלקוח ה-Mac של שירות ועידות הווידאו הפופולרי Zoom המאפשר לאתרים לאלץ משתמש להיכנס לשיחה כשהמצלמה שלהם מופעלת.
פגיעות הזום התגלתה ופורשה לציבור על ידי החוקר Jonathan Leitschuh לאחר תקופת חסד מסורתית של 90 יום, משפיעה על מגוון דפדפני אינטרנט הפועלים ב-Mac, כולל Safari, Chrome ו-Firefox.
מפורט ב אהוכחה לקונספט, הפגם מאפשר לאתרי אינטרנט ליזום שיחת וידאו בכל מק שהותקנה בו, או במקרים מסוימים הותקנה בו, אפליקציית Zoom. בהתאם לגרסת האפליקציה של זום, אתר מרושע מסוגל להפעיל שיחת וידאו בפעולת השקה פשוטה או ניצול iframe.
בהוכחת הרעיון של Leitschuh, לחיצה על קישור פותחת את לקוח ה-Zoom עם וידאו מופעל, אלא אם משתמש בחר במפורש לבטל את הזרמת הווידאו כאשר הוא מצטרף לפגישה חדשה. אודיו מושבת גם כברירת מחדל.
AppleInsiderאישר שהפגיעות קיימת בגרסה האחרונה 4.4.4 של אפליקציית ה-Mac של Zoom.
אולי מטריד יותר הוא הגילוי ש-Zoom יוצר ומפעיל כל הזמן שרת אינטרנט מקומי כתהליך רקע במחשב מארח. האסטרטגיה שימשה כ"פתרון לעקיפת הבעיה" לשינויים שנעשו ב-Safari 12, התאמה שנעשתה במאמצים לשמור על חווית המשתמש היעיל של האפליקציה, Zoomאמר בהצהרהאֶלZDNet.
עם כל התקנת Zoom, השרת המקומי פועל על יציאה 19421, דרכו ניתן להפעיל שיחות זום ולהעביר עדכונים. למרבה האירוניה, זום לעיתים רחוקות, אם בכלל, מבצעת תהליך עדכון אוטומטי למרות השרת הפועלים תמיד והיציאה הפתוחה.
מחמיר את המצב, הסרת ההתקנה של Zoom אינה משביתה את השרת, שנשאר פעיל ויכול להתקין מחדש את אפליקציית הלקוח ללא אינטראקציה של המשתמש. לדברי Leitschuh, ביקור בדף אינטרנט בלבד יכול להפעיל התקנה מחדש.
הגדל את ההצהרה שלו לZDNetהגן על המהלך, ואמר ששרת אינטרנט הוא "פתרון לגיטימי לחוויית משתמש גרועה, המאפשר למשתמשים שלנו לקיים פגישות חלקות, בלחיצה אחת להצטרפות, המהווה את המאפיינים העיקריים של המוצר שלנו".
Leitschuh הודיעה לזום על יום האפס במרץ. החברה אישרה את הפגם, אך הציעה רק תיקון barebones הכולל חתימה על בקשות HTTP GET. זום ביקשה הארכה כאשר Leitschuh חשפה לאחרונה את פגיעות ה-iframe, אך החוקר התקדם עם גילוי נאות ואמר שנושא הליבה - השרת המקומי - נשאר בתיקון של החברה.
למשתמשים בהערות זום יש את היכולת להימנע מחשיפה על ידי בחירה להשבית את הווידאו כשהם מצטרפים לפגישה בפעם הראשונה שהתוכנית פועלת. עם זאת, המשתמשים חייבים להיות פרואקטיביים כדי לשמור על הגנה זו.
"כל משתמשי זום בפעם הראשונה, כשהם מצטרפים לפגישה הראשונה שלהם ממכשיר נתון, נשאלים אם הם רוצים שהסרטון שלהם יכבה", אמר זוםZDNet. "לפגישות עוקבות, משתמשים יכולים להגדיר את הגדרות הווידאו של הלקוח שלהם כדי לכבות וידאו בעת הצטרפות לפגישה. בנוסף, מנהלי מערכת יכולים להגדיר מראש הגדרות וידאו עבור מכשירים נתמכים בזמן ההתקנה או לשנות את התצורה בכל עת."
מהדורה המתוכננת ליולי תשמור את הגדרות הגישה הראשוניות לווידאו של משתמש חדש בכל הפלטפורמות המחוברות, אמר זום. בנוסף, החברה הסירה את היכולת של מארח להצטרף אוטומטית לשיחה עם וידאו מופעל,ZDNetדוחות.
בעוד ש-Zoom לא ירחיק לכת עד כדי הסרת שרת ה-localhost, משתמשים יכולים להרוג ולמחוק את ה"תכונה" הפוגעת באמצעות פקודות מסוף המפורטות בדוח המקורי של Leitschuh.
