Zoom telekonferans uygulamasına sahip herhangi bir Mac şu anda gözetlenebilir. Evet, kötü niyetli web siteleri Mac'inizde uzaktan bir video konferans araması başlatmak için kodlanabildiğinden ve hatta saldırı e-posta üzerinden gönderilebildiğinden, Apple güvenliği için kötü bir gün.
Güvenlik araştırmacısı Jonathan Leitschuh tarafından açıklanan bu haber, Zoom'un artık yüklü olmadığı, ancak bir zamanlar kurulmuş olan Mac'lerin bile savunmasız olduğunu gösteriyor. Yine de iyi haber şu ki, çözümler var (bir tanesi çok zor olsa da) ve Zoom yakında hepsini düzeltecek gibi görünüyor.
şimdi ne yapmalı
Zoom'un duruşunu değiştirmesi sayesinde düzeltme, Zoom güncellemelerini geldikçe kabul etmek kadar basit görünüyor. Zoom'un kusurla ilgili büyük blog gönderisine yapılan bir güncellemede şirket, bu gece (9 Temmuz) saat 3'te EST / gece yarısı PST'de veya öncesinde bir yamanın bir şeyleri çözeceğini belirtti. Kullanıcılardan uygulamayı güncellemeleri istenecek ve güncelleme bittiğinde "yerel web sunucusu o cihazda tamamen kaldırılacaktır."
Güncelleme, sözde kaldırma prosedürünü de iyileştirecek. Zoom'un gönderisinde "Zoom menü çubuğuna, kullanıcıların yerel web sunucusu da dahil olmak üzere Zoom istemcisini manuel olarak ve tamamen kaldırmasına olanak tanıyan yeni bir seçenek ekliyoruz" yazıyor.
Jonathan Leitschuh ve diğer güvenlik araştırmacılarının Zoom'un kapsamlı ve düzgün bir iş çıkardığını düşünüp düşünmediğini görmek için sabırsızlanıyoruz.
Mac'inizi korumak için Yakınlaştırma Ayarları'nı açın - menü çubuğunda Yakınlaştır'ı tıklayın, ardından Ayarlar'ı tıklayın - ve Video bölümünü açın. Ardından "Bir toplantıya katılırken videomu kapat" seçeneğinin yanındaki kutuyu işaretleyin.
Leitschuh, paylaşımında Terminalde kullanım için de kod paylaştı. Bu talimatlar biraz karmaşıklaşıyor ve onu tercih edecek süper teknoloji meraklısı kullanıcılar için en iyisi. Bu ipuçları, Zoom'un Mac'te oluşturduğu web sunucusunu ortadan kaldırmak için yapılmıştır.
Nasıl çalışır
Evet, tüm bunlar mümkün çünkü Zoom, Mac'lere gizlice web tarayıcılarınızın almayacağı istekleri alan ve kabul eden bir web sunucusu kurar. Leitschuh, geçtiğimiz Mart ayında şirkete ulaşarak Zoom ile çalışmaya çalıştığını, ancak "çözümlerinin kullanıcılarını tam olarak korumak için yeterli olmadığını" açıkladı.
Ayrıca, daha önce bahsettiğim gibi, Zoom'u Mac'lerinden kaldırmış olan kullanıcılar bile savunmasızdır. Leitschuh, Zoom tarafından kurulan web sunucusunun, programı kaldırdıktan sonra bile geride kaldığını ve sunucunun Zoom'un en son sürümünü güncellemek ve otomatik olarak yüklemek için uzaktan tetiklenebileceğini açıklıyor.
Oh, ve bir kurbanın bir web sayfası açması için kandırılmasına bile gerek yok. Öncelikle, Vimeo kullanıcısı 'fun jon', bu kusura e-posta yoluyla saldırabileceğinize dair video kanıtı yayınladı ve hedefin mesajı açmasına bile gerek yok. Kötü niyetli olarak kodlanmış mesajı indiren bir e-posta istemci uygulaması kullanıyor olmaları yeterlidir.
Leitschuh, Zoom ile tartıştıktan sonra, şirkete "bir toplantı sahibinin bir katılımcının otomatik olarak videoya katılıp katılmayacağını seçmesine izin vermenin" "bağımsız bir güvenlik açığı" olduğunu söylemesinin ardından, şirket buna karşı çıkarak kararını profesyonel kullanıcı olarak konumlandırdı: "Zoom müşterilerimize nasıl Yakınlaştırmak istediklerini seçme gücü vermeye inanıyor."
Kendiniz görmek ister misiniz?
Makinenizde daha önce Zoom varsa, bunu kendiniz görebilirsiniz.
Leitschuh'un blog gönderisinde "zoom_vulnerability_poc/" ifadesini arayın - çünkü bu, bir Zoom çağrısını başlatan kavram kanıtının bağlantısıdır. İlki, yalnızca sesli bir sürümdür; URL'de 'iframe' içeren ikinci bağlantı, video etkinken bir arama başlatır.
Bu Zoom güvenlik açığı muzdur. Kavram bağlantılarının kanıtlarından birini denedim ve gerçek zamanlı olarak bu konuda çıldırtan diğer üç randoya bağlandım. https://t.co/w7JKHk8nZypic.twitter.com/arOE6DbQaf - Matt Haughey (@mathowie) Temmuz 9,2021-2022
Bu makale ilk olarak Tom's Guide'da yayınlandı.
- macOS Catalina Beta İncelemesi
- iPadOS ile Fare Kullandım ve İşte Nasıl Çalışır
- iPadOS Beta İncelemesi