И Apple издаде безбедносна закрпа за пропоустите на Zoom и „white label“партнерите

Корисниците на Mac овие неколку недели добиваат потсетување дека ниту нивните компјутери не се сосем безбедни. Безбедносен пропуст во апликацијата Zoom им овозможува на напаѓачите да преземат контрола врз камерите на корисниците. Безбедносниот експерт Џонатан Литшах (Jonathan Leitschuh) презентираше дека било кој веб-сајт може да започне видеоповик ако корисникот има инсталирано Zoom. Пред надградбата на софтверот пропустот овозможуваше и „Denial of Service“ напад преку постојано „пингање“ на серверот.

„Бев љубопитен да дознаам како оваа неверојатно функционалност е имплементирана, и како е имплементирана да биде безбедна. Испадна дека воопшто не е безбедна. Ниту ми текнува некој начин што може да ј направи безбедна без да биде потребна дополнителна интеракција од корисникот“.

Причината за пропустот е веб-сервер кој се инсталира заедно со апликацијата. Овој веб сервер прима повици кои останатите прелистувачи не ги прифаќаат. Дополнително локалниот веб сервер останува и по отстранувањето на Zoom, и може да ја ре-инсталира апликацијата без интервенција од корисникот. Овој сервер е креиран за на корисниците да им заштеди неколку кликови, што требаше да придонесе за подобро корисничко искуство. Со локалниот сервер се заобиколува Cross-Origin Resource Sharing (CORS)

Она што загрижува и повеќе од пропустот е односот на креаторите на апликацијата. г. Литшах пропустот го пријавил уште во март, на компанијата и оставил 90 дена да ги надмине проблемите, и откако тоа не се случи и јавно го објави пропустот.

Пропустот ги зафаќа и сервисите како Ringcentral што во својот систем го користат  Zoom како систем. Поради ова оваа недела и Apple издаде надградба на MacOS оперативниот систем. Со ова ќе биде отстранета опасноста коа се креира со креирање на секундарен веб сервер на компјутерот на корисникот. Ова е втора надградба која Apple ја издава за оперативниот систем за да се надминат проблемите кои го креираа од Zoom. Првата надградба компанијата ја издаде на  10 јули, потсети Verge.

Ако ја користите апликацијата тогаш веднаш преземете ја најновата верзија на Zoom. Со новата надградба се отстранува локалниот веб сервер од компјутерот на корисникот и со ова ќе биде отстранета можноста напаѓачот да ја активира камерата на корисникот преку Zoom линк.

По реакциите на корисниците на објаснувањето на Zoom се чини дека задоцнувањето со последната надградба нема да им донесе нови „фанови“.

Коментирај

Вашата адреса за е-пошта нема да биде објавена.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Слични статии