這是因?yàn)椋芯咳藛T喬納森·萊特舒赫(Jonathan Leitschuh)按照“零日方法”規(guī)則披露了Zoom應(yīng)用的一個(gè)嚴(yán)重安全漏洞,同時(shí)建議用戶確保在公司發(fā)布補(bǔ)丁時(shí)更新他們的應(yīng)用程序。
該漏洞利用Zoom中的架構(gòu)漏洞進(jìn)行攻擊。在該漏洞中,為改善用戶體驗(yàn)而安裝的Web服務(wù)器會(huì)使系統(tǒng)面臨惡意攻擊,網(wǎng)絡(luò)攝像頭可以激活。本質(zhì)上,通過強(qiáng)制邀請用戶參加Zoom呼叫,以發(fā)起拒絕服務(wù)攻擊(因?yàn)榇蛄搜a(bǔ)丁),并且可以重新激活卸載的應(yīng)用程序,所有這些都不需要用戶許可。
Zoom解釋說,這樣做是為了改善零散的用戶體驗(yàn),是對Safari 12進(jìn)行升級(jí)的變通辦法,這是“一個(gè)針對糟糕用戶體驗(yàn)的合法解決方案,使我們的用戶能夠無縫地一鍵加入會(huì)議,這是我們的關(guān)鍵產(chǎn)品差異化。”
然而,萊特舒赫在他的披露中說:“首先,在我的本地機(jī)器上安裝運(yùn)行Web服務(wù)器的Zoom應(yīng)用程序,使用完全沒有文檔記錄的API,對我來說感覺非常粗略。其次,我訪問的任何網(wǎng)站都可以與運(yùn)行在我機(jī)器上的這個(gè)Web服務(wù)器進(jìn)行交互,這對對于作為安全研究員的我來說,是一個(gè)巨大的危險(xiǎn)信號(hào)。”
萊特舒赫指責(zé)Zoom通過使用本地服務(wù)器“在背后制定了巨大的目標(biāo)”,通過一個(gè)架構(gòu)糟糕的技術(shù)解決方案讓數(shù)百萬用戶陷入遭到網(wǎng)絡(luò)攻擊的危險(xiǎn)中,這種解決方案以改善用戶體驗(yàn)為借口基本上繞過了用戶瀏覽器的安全保護(hù)措施,而這些保障措施顯然是有充分理由的。
萊特舒赫在3月份向Zoom披露了這個(gè)問題,他說:“利用令人驚訝的、功能簡單的Zoom漏洞,你只需向任何人發(fā)送會(huì)議鏈接(例如https://zoom.us/j/492468757),當(dāng)他們在瀏覽器中打開該鏈接時(shí),他們的Zoom客戶端在他們的本地機(jī)器上就能神奇地打開,這讓用戶很容易陷入攻擊危險(xiǎn)之中。”
在披露中,萊特舒赫表示,Zoom推遲了對漏洞的處理,直到90天未披露“寬限期”結(jié)束前18天才開始討論他的發(fā)現(xiàn)。然后,在6月24日,“經(jīng)過90天的等待,也就是公開披露截止日期前的最后一天”,Zoom只是簡單地部署了他三個(gè)月前向該公司提出的“快速解決方案”。
萊特舒赫說:“最終,Zoom未能快速確認(rèn)報(bào)告的漏洞確實(shí)存在,他們也未能及時(shí)將問題的解決方案交付給客戶。擁有如此龐大的用戶群的組織,本應(yīng)更積極主動(dòng)地保護(hù)其用戶免受攻擊。”
精通技術(shù)的用戶可以找到并刪除應(yīng)用程序,但對于我們其余的人,應(yīng)該改變視頻設(shè)置并保持應(yīng)用程序更新。目前還沒有跡象表明Zoom會(huì)進(jìn)行重大技術(shù)上的改變,以解決這個(gè)架構(gòu)上的弱點(diǎn),所以改變視頻設(shè)置并保持它的改變,似乎是避免遭到攻擊的最佳方式。
在一份聲明中,Zoom確認(rèn)了這個(gè)問題,并承認(rèn)“如果攻擊者能夠誘使目標(biāo)用戶點(diǎn)擊指向攻擊者Zoom會(huì)議的Web鏈接,無論是在電子郵件消息中還是在網(wǎng)絡(luò)服務(wù)器上,目標(biāo)用戶都可能在不知情的情況下加入攻擊者的Zoom會(huì)議。”
Zoom補(bǔ)充說,其7月份的更新“將應(yīng)用并保存用戶從第一次Zoom會(huì)議到未來所有Zoom會(huì)議的視頻首選項(xiàng)。用戶和系統(tǒng)管理員仍然可以配置他們的客戶端視頻設(shè)置,以便在加入會(huì)議時(shí)關(guān)閉視頻。此更改將應(yīng)用于所有客戶端平臺(tái)。”
Zoom表示:“我們非常認(rèn)真地對待與我們產(chǎn)品相關(guān)的所有安全問題,并有一個(gè)專門的安全團(tuán)隊(duì)。我們承認(rèn),我們的網(wǎng)站目前沒有為報(bào)告安全問題提供明確的信息。在未來幾周,Zoom將使用其公共漏洞獎(jiǎng)勵(lì)計(jì)劃,補(bǔ)充我們現(xiàn)有的私人獎(jiǎng)勵(lì)計(jì)劃。”
不過,萊特舒赫對此仍持懷疑態(tài)度,并建議轉(zhuǎn)而采用“零日策略”,這顯然更能確保這類曝光受到關(guān)注。