Η Apple ανέλαβε να «κλείσει» το κενό ασφαλείας της εφαρμογής Zoom, δείχνοντας πόσο σοβαρό ήταν τελικά

[voltmod]

Εχθές, η υπηρεσία video conferencing Zoom διέθεσε μία αναβάθμιση για τον Mac client της, αφαιρώντας την αμφιλεγόμενη λειτουργικότητα του web server που θα μπορούσε να επιτρέψει σε κάποιον τρίτο να ξεκινήσει μία βιντεοκλήση στον υπολογιστή του χρήστη χωρίς την άδεια του.

Όμως όπως αναφέρει το TechCrunch, η Apple δεν θέλησε να αφήσει τα πράγματα στα χέρια μόνο της Zoom και έτσι διέθεσε ένα update για υπολογιστές Mac που αφαιρούσε τη λειτουργικότητα web server από την εφαρμογή Zoom. Ο τοπικός web server που η Zoom εγκαθιστούσε χωρίς να προειδοποιήσει τους χρήστες των υπολογιστών Mac μπορεί να βελτίωνε κάποιες πτυχές της υπηρεσίας από άποψη ευχρηστίας, ώστε άφηνε και ανοικτό το ενδεχόμενο εκμετάλλευσης από τρίτους, όπως τεκμηριώθηκε πρώτα από τον ερευνητή ασφαλείας Jonathan Leitschuh.

Η Apple υποστηρίζει ότι η ενημέρωση που διέθεσε προστατεύει τόσο τους παλιούς όσο και τους τωρινούς χρήστες του Zoom από τις ευπάθειες και τα κενά ασφαλείας που εντοπίστηκαν από τον Jonathan Leitschuh, ενώ εκπρόσωπος της Zoom δήλωσε στην ιστοσελίδα TechCrunch ότι η εταιρεία του είναι «ευχαριστημένη που συνεργάστηκε με την Apple» για την ενημέρωση.

Το ότι η Apple κινήθηκε για να διαθέσει άμεσα ένα patch που διόρθωνε ένα κενό ασφαλείας σε εφαρμογή τρίτου –κάτι που η εταιρεία σπάνια κάνει- τα λέει όλα από μόνο του. Ένα third party app που εγκαθιστούσε τοπικά έναν web server στον υπολογιστή σας, χωρίς μάλιστα να σας το γνωστοποιήσει, και που αυτομάτως και άμεσα φρόντιζε να επανεγκαταστήσει την εφαρμογή Zoom ακόμα και αν είχατε φροντίσει να την απεγκαταστήσετε, είναι ότι χειρότερο για την ασφάλεια του υπολογιστή σας. Και το γεγονός ότι αρχικά η Zoom προσπάθησε να υποβαθμίσει τις ευπάθειες, χαρακτηρίζοντας τες «χαμηλής επικινδυνότητας» και υπερασπίστηκε την χρήση του κρυφού web server, δείχνει την σπουδαιότητα της δουλειάς των ανεξάρτητων ερευνητών ασφαλείας, που πολλές φορές είναι και οι πρώτοι που αναλαμβάνουν να διαψεύσουν τέτοιους ισχυρισμούς.

Σε μία ανάρτηση του στο επίσημο blog εχθές, ο CEO της Zoom, Eric S. Yuan έγραψε ότι η εταιρεία του πρόκειται να ξεκινήσει ένα δημόσιο πρόγραμμα γνωστοποίησης ευπαθειών μέσα στις επόμενες εβδομάδες. Επίσης έκανε γνωστό ότι η εταιρεία του έλαβε μέτρα για να βελτιώσει τον τρόπο που εργάζεται πάνω σε ζητήματα που σχετίζονται με την ασφάλεια της υπηρεσίας της. 

Mashable

Διαβάστε ολόκληρο το άρθρο

[goliathv92]

RIP

[Retromaniac]

Ξεφτίλα η zoom... Μόνο αυτό.

[theo93]

Άρα μπορούσε κάποιος να έχει πρόσβαση σε όλα τα αρχεία - κωδικούς και ο ceo το χαρακτήρισε «χαμηλής επικινδυνότητας» ;;;

[PeterMay]

Η Zoom είναι τίποτα της Mazda?

 

 

 

ZoomZoom

[coffeex]

Ρόμπα ο CEO της Zoom.... πάει να μαζέψει τα αδικαιολόγητα..

[TheGrisGrisMan]

«Εχθές, ο CEO της Zoom, Eric S. Yuan έγραψε ότι η εταιρεία του πρόκειται να ξεκινήσει ένα δημόσιο πρόγραμμα γνωστοποίησης ευπαθειών μέσα στις επόμενες εβδομάδες”

In other words:

Spoiler

 

[infin1tyGR]

47 minutes ago, theo93 said:

μπορούσε κάποιος να έχει πρόσβαση σε όλα τα αρχεία - κωδικούς

Αυτό από πού το συμπέρανες; Μόνο σε βιντεοκλήση μπορούσε να σε βάλει χωρίς να το καταλάβεις.

[Επισκέπτης]

54 λεπτά πριν, infin1tyGR είπε

Αυτό από πού το συμπέρανες; Μόνο σε βιντεοκλήση μπορούσε να σε βάλει χωρίς να το καταλάβεις.

Το άρθρο του Jonathan Leitschuh είναι πολύ ωραίο για όσους καταλαβαίνουν τα τεχνικά. Γίνεται λόγος και για RCE (Remote code execution) οπότε ναι, δυνητικά θα μπορούσε να αποκτήσει πρόσβαση σε αρχεία, με παλιότερο version του zoom εγκατεστημένο.

Όχι πως η πρόσβαση σε κάμερα είναι λίγο, αλλά αυτό το τερματίζει. Όπως τονίζεται από την Apple η ενημέρωση είναι "τόσο τους παλιούς όσο και τους τωρινούς χρήστες του Zoom."