Вчера сервис видеоконференцсвязи Zoom выпустил обновление для своего клиента на Mac, исправив критическую ошибку, которая позволяла злоумышленникам получать доступ к веб-камерам пользователей и запускать видеозвонки без их согласия.
Впервые эту уязвимость обнаружил специалист по кибербезопасности Джонатан Лейтшу в марте 2019 года. В качестве доказательства он встроил вредоносные строки кода в свой сайт.
Попадая на сайт, пользователи тут же подключались к видеоконференции, не давая на это никаких разрешений. Однако сервис не посчитал это серьёзной проблемой, проигнорировав все жалобы и опасения.
Но теперь, как сообщает портал TechCrunch, за дело взялись в Apple. Компания решила вмешаться независимо и выпустила обновление, которое удаляет из системы фоновый сервис Zoom.
Обновление полностью удаляет локальные веб-сервера на macOS, из-за ошибок в которых злоумышленники могли запускать приложение видеосервиса с активированной камерой без ведома пользователей. До обновления доступ к чужой веб-камере можно было получить даже после удаления Zoom с компьютера.
Apple заявила, что обновление защищает прошлых и настоящих пользователей Zoom от уязвимостей, а Zoom сообщил, что компания рада, что работала с Apple над обновлением.
То, что Apple исправили стороннее приложение — это компания делает очень редко — говорит о многом, в том числе и о том, насколько серьёзными могли бы быть последствия такой ошибки.
А тот факт, что в Zoom изначально преуменьшали уязвимости, называя их низкими рисками, свидетельствует о важности работы независимых исследователей безопасности, которые обычно первыми обнаруживают подобные дыры в работе сервисов и приложений.
После случившегося генеральный директор Zoom Эрик С. Юань написал в своём блоге, что компания запустит общедоступную программу работы с уязвимостями в ближайшие несколько недель. Он также сообщил, что компания предприняла шаги для улучшения надёжности всех процессов, связанных с безопасностью.
Напомним, что Zoom является одним из самых популярных сервисов для совершения видео- и аудиозвонков через интернет. Бесплатная версия сервиса позволяет создавать групповые конференции длительностью до 40 минут, к которым может присоединиться до 100 человек.
Его используют десятки миллионов пользователей, как для личных, так и для корпоративных целей. Именно поэтому такая уязвимость могла поставить под угрозу приватность и безопасность миллионов пользователей по всему миру.
