Zoom视频会议软件存在漏洞，网站可以劫持Mac网络摄像头

具有讽刺意味的是，即使您曾经在设备上安装Zoom客户端并将其卸载，远程攻击者仍然可以激活您的网络摄像头。

Zoom是最受欢迎的基于云计算的会议平台之一，为用户提供视频、音频和屏幕共享选项，允许他们主持网络研讨会、教授在线课程、进行在线培训或在线参加虚拟会议。

在今天发布的一篇中篇文章中，网络安全研究人员乔纳森·莱茨丘（Jonathan Leitschhuh）披露了苹果Mac电脑Zoom客户端应用程序中一个未修补的关键安全漏洞（CVE-2019-13450）的详细信息。如果该漏洞与另一个漏洞相结合，攻击者可能会远程在目标系统上执行任意代码。

Jonathan在90多天前负责地向受影响的公司报告了该安全漏洞，但Zoom团队未能提供适当的安全补丁，使其400多万用户的隐私和安全面临风险。

漏洞利用流行会议软件的点击加入功能，该软件旨在自动激活系统上安装的Zoom应用程序，允许参与者在单击邀请链接时通过其web浏览器快速加入视频会议，例如，https://zoom.us/j/492468757.

乔纳森发现，为了提供这一功能，Zoom软件在系统上运行一个本地web服务器—；19421和8212号港口；“不安全地”通过HTTPS GET参数接收命令，打开的web浏览器中的任何网站都可以与之交互。
要利用此漏洞，攻击者需要通过Zoom网站上的帐户创建一个邀请链接，并将其作为图像标签或使用iFrame嵌入到第三方网站上，方便目标访问该网站。

乔纳森说：“启用‘参与者：开启’在设置会议时，我发现任何参加我会议的人都会自动连接他们的视频。”。

一旦系统上安装了Zoom client的Mac用户访问该恶意网站，它将强制启动Zoom应用程序并打开网络摄像头，使他们暴露在攻击者面前。

乔纳森说：“这可能被嵌入恶意广告中，也可能被用作网络钓鱼活动的一部分。如果我真的是一名攻击者，我可能会投入一些时间，还包括Zoom网站上运行的Javascript代码中的递增端口逻辑。”。

简单地卸载软件不足以解决这个问题，因为Jonathan解释说，点击连接功能还接受一个命令，该命令可以自动重新安装Zoom，而无需用户干预或许可。

除了打开网络摄像头，该漏洞还可以被滥用，通过向本地服务器发送大量重复的GET请求，对目标Mac计算机进行DoS攻击。

“Zoom最终修补了这个漏洞，但他们所做的只是阻止攻击者打开用户的摄像机，”乔纳森说。“他们没有禁用攻击者对任何访问恶意网站的人强行加入呼叫的能力。”

该漏洞影响Mac Zoom app的最新版本4.4.4。
除了Zoom，Jonathan还向Chromium和Mozilla团队透露了该漏洞，但由于问题实际上并不存在于他们的web浏览器中，这些公司也无能为力。

然而，好消息是，用户仍然可以解决这个问题。您只需手动禁用Zoom的设置，即可在加入会议时自动打开网络摄像头。

为此，只需进入缩放设置窗口并启用“加入会议时关闭我的视频”设置。

您还可以运行一系列终端命令，完全卸载web服务器，这些命令可以在Jonathan的帖子底部找到。

Zoom回应了研究人员的发现

在今天晚些时候发布的一份声明中，该公司承认了这一问题，但还补充说，“因为Zoom客户端用户界面在发布时在前台运行，用户很容易发现他们无意中参加了会议，他们可以更改视频设置或立即离开。”

除此之外，该公司表示，他们“没有迹象表明”所报告的问题是否被利用来侵犯其任何用户的隐私。

Zoom还承认了对其软件的其他相关担忧，并表示研究人员报告的本地拒绝服务（DOS）漏洞已于2019年5月修复，不过该公司表示，它没有强迫用户进行更新，因为“根据经验，这是一个低风险漏洞”

该公司还表示，当用户安装Zoom client时，它会安装一个功能有限的web服务器，以提供一次点击加入会议的功能，从而避免用户在每次加入会议之前进行额外的点击，但它没有评论为什么即使用户选择卸载客户端软件，服务器仍会安装在本地计算机上。