Специалист по компьютерной безопасности Джонатан Лейтшу (Jonathan Leitschuh) рассказал о найденной им уязвимости в приложении для видеоконференций Zoom. Этот популярный на macOS сервис может стать лазейкой для слежки за пользователями компьютеров Apple.

Проблема кроется в архитектурной уязвимости Zoom. Для улучшения взаимодействия с пользователем программа создаёт на ПК локальный сервер. Он и является источником потенциальной угрозы. Злоумышленники могут получить к нему доступ удалённо.

По сути, эта уязвимость позволяет активировать веб-камеру компьютера принудительно. Более того, созданный программой сервер может быть задействован даже после удаления Zoom. Пользователю достаточно лишь кликнуть на ссылку-приглашение в видеоконференцию.

Лейтшу рассказал о проблеме разработчикам Zoom ещё в марте, предупредив, что обнародует данные о ней через 90 дней. Однако, по словам эксперта, представители компании отделались временным решением, которое он предлагал им в самом начале. Полностью проблему оно не устраняет.

отключение автоматической активации веб-камеры при входящем приглашении
отключение автоматической активации веб-камеры при входящем приглашении в Zoom

Представители Zoom добавили, что решат проблему с июльским обновлением. Пока же обезопасить себя от слежки можно отключив в настройках программы автоматическую активацию веб-камеры при входящем приглашении в видеоконференцию (изображение выше).

Обновление 1: Zoom выпустил специальный патч, закрывающий обнаруженную уязвимость. Он  удаляет с компьютеров пользователей локальные сервера, ставшие причиной проблемы. Об этом сообщается в заявлении на официальном сайте Zoom. Всем пользователям сервиса сейчас необходимо просто обновить клиент.

Обновление 2: TechCrunch сообщает, что и сама Apple решила перестраховаться, выпустив специальный патч для macOS, который устраняет уязвимость Zoom. Апдейт устанавливается автоматически и удаляет локальный веб-сервер приложения. Действий со стороны пользователей не требуется.