contador Saltar al contenido

يحتوي تطبيق Zoom video Conference على ثغرات أمنية خطيرة على نظام macOS [atualizado 2x] – MacMagazine.com

marzo 17, 2020

يمكن أن تنشأ نقاط الضعف في نظام تشغيل معين بعدة طرق ، من الفشل في النظام نفسه إلى تطبيق كود ضعيف أو معيب. الآن ، عندما نرى تطبيقًا لا يقصد به أن يكون برنامجًا ضارًا يثبت ثغرة على جهازك عن عمد ، فإننا نتحدث بالفعل عن حالة أكثر ندرة.

كان هذا بالضبط الاكتشاف الذي قام به الباحث الأمني جوناثان ليتشوه التي تتضمن تطبيق macOS لخدمة مؤتمرات الفيديو تكبير / تصغير. كما أوضح الباحث في دليل على المفهوم ، يقوم تطبيق Zoom بتثبيت خادم ويب على الجهاز بصمت ؛ يعمل هذا الخادم في جميع الأوقات كعملية خلفية ويسمح ، بنقرة على رابط بسيط ، لأي موقع ويب لتنشيط كاميرا Mac وجعل المستخدم يدخل ، في أي وقت ، مكالمة فيديو حتى دون قبولها .

"إن ضعف التكبير هذا مجنون. لقد نقرت على أحد إثباتات روابط المفاهيم وكنت متصلاً بثلاثة مستخدمين عشوائيين آخرين كانوا أيضًا يشعرون بالخوف من ذلك في الوقت الفعلي.

أكثر إثارة للخوف أن نلاحظ أن مثل هذا الخادم يبقى على ماك حتى بعد إلغاء تثبيت تطبيق Zoom. وفقًا للمطورين ، يوجد دوام الخادم بحيث يمكنك إعادة تثبيت الأداة المساعدة Zoom دون أي عمل ، ببساطة عن طريق زيارة صفحة ويب ؛ لكن في الممارسة العملية ، هذا يعني أن الثغرة تقاوم حتى بعد تطهير مصدرها. تعطي نهاية مشاركة Leitschuh على Medium الخطوات للمستخدمين لإزالة الخادم من أجهزة Mac الخاصة بهم ، الأمر الذي يتطلب رحلة إلى Terminal.

هناك طريقة أبسط ولكن أقل أمانًا لحماية نفسك هي الانتقال إلى إعدادات Zoom والتحقق من خيار "قطع الاتصال بالفيديو عند الدخول إلى اجتماع". في هذه الحالة ، سيظل الخادم قادرًا على تشغيلك في منتصف مؤتمر فيديو بنقرة بسيطة على رابط ، ولكن على الأقل سيتم إيقاف تشغيل الكاميرا افتراضيًا وستتمكن من مغادرة تلك البيئة قبل أن يرى الآخرون ما تفعله أمام كمبيوتر.

كيفية حل الضعف في تطبيق مؤتمر الفيديو Zoom

أبلغ Leitschuh Zoom حول المشكلة في نهاية مارس ، مع احترام فترة 90 يومًا المتفق عليها بشكل عام للكشف عن نقاط الضعف بشكل علني. تكمن المشكلة في أن الشركة لم تتخذ إجراءً في الوقت المناسب لتصحيح الخلل: قال Zoom إن استخدام الخادم على جهاز Mac هو "حل بديل" للتغييرات التي نفذتها Apple في Safari 12 ، قائلاً إنه بدونها ، لن يتمكن المستخدمون من الوصول أدوات الشركة ، مثل اجتماعات بنقرة واحدة والوصول السريع إلى المحادثات.

بعد رد الفعل السلبي للغاية للجمهور ، ومع ذلك ، عاد: قالت الشركة أنها ستصدر تحديثًا لتطبيقها في الأيام القليلة المقبلة مما سيؤدي إلى تعطيل الخادم المشتبه فيه تمامًا. سيجلب التحديث أيضًا أداة إلغاء تثبيت جديدة ستزيل أداة Zoom تمامًا عندما يطلبها المستخدم ، وأخيرًا ، سيتم تنشيطها افتراضيًا للمستخدمين الجدد خيار عدم تشغيل الفيديو تلقائيًا عند دخول مكالمة.

عبر MacRumors

تحديث 07/10/2019 الصورة 13:59

قام Zoom بالفعل بإصدار التصحيح إلى تطبيقك ، مما أدى إلى إزالة الخادم المشبوه وإضافة أداة إلغاء تثبيت كاملة إلى الأداة المساعدة. يمكن لمستخدمي التطبيق تحديثه على الفور في علامة تبويب التحديثات الخاصة بهم.

التحديث الثاني 07/10/2019 الصورة 19:30

لم يكن Zoom هو الوحيد الذي اتخذ إجراءً لتصحيح السلوك المشكوك فيه لتطبيقه على نظام macOS على الأقل: أكدت Apple للتو تك كرانش الذي أصدر أيضا تحديث أمني صامت لنظام التشغيل (من خلال نظام XProtect) الذي يزيل الخادم الضار من التطبيق على الرغم من أن المستخدم لم يقم بتحديث التطبيق نفسه بعد.

وفقًا لما ، لا يتطلب التحديث أي تفاعل من جانب المستخدم ويتم تطبيقه تلقائيًا ، لذلك يجب حماية جميع أجهزة Mac في العالم بشكل صحيح قريبًا جدًا.

ما البعد الذي اتخذته لامبانا ، هاه؟