Người dùng Macbook có thể bị web chiếm quyền điều khiển khi cài ứng dụng họp trực tuyến

 

 

Lỗ hổng bảo mật của Zoom trên Macbook

Jonathan Leitschuh đã chứng minh việc bất kỳ trang web nào cũng có thể mở một cuộc gọi kích hoạt video trên Macbook khi cài đặt ứng dụng Zoom.

Điều này xảy ra một phần là ứng dụng Zoom cho phép chấp nhận các yêu cầu trình duyệt thông thường khi cài đặt một máy chủ web trên Macbook.

 Zoom cho phép chấp nhận các yêu cầu trình duyệt trên Macbook

Sự thật là lỗ hổng này hoàn toàn tồn tại khi người dùng click vào một liên kết sau khi cài đặt ứng dụng Zoom, ứng dụng này tự động tham gia một cuộc họp thông qua camera trên Macbook. Nhiều người dùng Twitter cũng báo cáo tình trạng tương tự.

Leitschuh cũng cho biết cụ thể về sự tiết lộ lỗ hổng của Zoom vào cuối tháng 3 và cho công ty này 90 ngày để giải quyết vấn đề. Tuy nhiên, Zoom có vẻ như không cố gắng trong việc giải quyết lỗ hổng này. Các nhà phát triển như Chromium và Mozilla cũng đã được thông báo về lỗ hổng này tuy nhiên có vẻ đây không phải vấn đề của xảy ra trên trình duyệt của họ nên chưa xuất hiện cách xử lý .

Việc bật camera đã là đủ tệ nhưng sự tồn tại của web server trên máy tính lại gây nhiều vấn đề nghiêm trọng hơn cho người dùng Mac. 

Cách sửa lỗi bảo mật của Zoom 

Ví dụ: trong phiên bản cũ hơn của Zoom (đã được vá), có thể thực hiện một cuộc lệnh từ chối dịch vụ trên máy Mac bằng cách liên tục gửi các yêu cầu lặp đi lặp lại cho một số xấu, ứng dụng Zoom sẽ liên tục gửi yêu cầu  từ hệ điều hành. 

Sự tồn tại của web server trên máy tính lại gây nhiều vấn đề nghiêm trọng hơn cho người dùng Mac. 

Jonathan Leitschuh cũng hướng dẫn cho người dùng cách tự sửa lỗi này bằng việc cập nhật phần mềm trên Mac và vô hiệu hóa tính năng cho phép phần mềm Zoom quyền bật camera khi tham gia cuộc họp.

Cách vô hiệu hóa tính năng cho phép phần mềm Zoom quyền bật camera

Công ty của ứng dụng Zoom cho hay web server là một giải pháp phù hợp và hợp pháp cho những người có khả năng sử dụng công nghệ kém tham gia cuộc họp với chỉ một lần nhóm. Công ty này cũng cho biết họ cũng có những hành động tiếp theo như cập nhập phiên bản trở lại trong tháng 7.