Zoom: Bezpečnostní výzkumník najde v procesu automatické aktualizace několik slabin

Zoom: Bezpečnostní výzkumník najde v procesu automatické aktualizace několik slabin

Bylo zjištěno, že Zoom má několik bezpečnostních chyb. Prostřednictvím procesu automatické aktualizace mohou hackeři znovu získat kontrolu nad strojem oběti.

Možnost automatické aktualizace aplikace Zoom pomáhá uživatelům mít vždy nejnovější verzi softwaru pro videokonference, který v posledních letech trpěl řadou problémů se soukromím a zabezpečením. Bezpečnostní specialista pro Mac našel několik nedostatků v nástroji pro automatickou aktualizaci , který útočníkům umožnil převzít úplnou kontrolu nad počítačem své oběti.

V Zoomu bylo nalezeno několik bezpečnostních chyb

Patrick Wardle prezentoval svá zjištění na letošním DefConu. Podle Wired byly zveřejněny dva z nich. První byl objeven při ověřování podpisu aplikace, což umožňuje ověřit integritu nainstalované aktualizace, aby byla zajištěna její plná legitimita. To zabrání útočníkovi přimět instalačního technika, aby věřil, že může nainstalovat cokoli.

Prostřednictvím procesu automatické aktualizace

Patrick Wardle zjistil, že hackeři mohou obejít ověřování podpisů tím, že své soubory pojmenovávají určitým způsobem. Jakmile jsou uvnitř, mohou získat přístup root a ovládat počítač své oběti. The Verge vysvětluje, že výzkumník nahlásil existenci této zranitelnosti na Zoom v prosinci 2021, ale oprava obsahovala další zranitelnost. Druhá chyba zabezpečení by mohla hackerům umožnit obejít ochranu zavedenou Zoomem, aby se ujistil, že proces aktualizace nainstaluje nejnovější verzi aplikace. Patrick Wardle zjistil, že je možné oklamat nástroj pro distribuci aktualizací Zoom, aby přijal starší verzi softwaru.

hackeři mohou znovu získat kontrolu nad strojem oběti

Zoom již tento nedostatek napravil, ale odborník objevil další zranitelnost, rovněž prezentovanou během konference. V určitém okamžiku mezi automatickým instalátorem zkontrolujícím balíček a samotným instalačním procesem může být do aktualizace vložen škodlivý kód. Stažený balíček, který je třeba nainstalovat, si zřejmě může ponechat původní oprávnění pro čtení/zápis, což umožňuje komukoli je změnit. To znamená, že i uživatelé bez přístupu root mohou sdílet obsah se škodlivým kódem a převzít kontrolu nad cílovým počítačem.

Společnost řekla The Verge, že pracuje na opravě této nové zranitelnosti objevené odborníkem. Jak zdůrazňuje Wired, útočníci již musí mít přístup k počítači uživatele, aby mohli tyto chyby zneužít. I když pro většinu uživatelů nehrozí žádné bezprostřední nebezpečí, Zoom doporučuje, abyste vždy „zůstali aktuální s nejnovější verzí“ aplikace. To umožňuje end-to-end šifrování.

News
admin

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

4 nejlepší způsoby, jak aktivovat seznamku na Facebooku | Návod
6 nejlepších způsobů, jak blokovat reklamy na Androidu zdarma: krok za krokem
Zoom hovory jsou nespolehlivé a ChromeOS má nyní univerzální přepínače mikrofonu a fotoaparátu

Zoom hovory jsou nespolehlivé a ChromeOS má nyní univerzální přepínače mikrofonu a fotoaparátu

  • 25 Dub 2023
  • 69
Přihlášení Zoom.us: Kroky k připojení Zoom pomocí ID schůzky

Přihlášení Zoom.us: Kroky k připojení Zoom pomocí ID schůzky

  • 19 Dub 2023
  • 127
Zoom oznamuje funkce umělé inteligence, které se stanou vaším osobním asistentem

Zoom oznamuje funkce umělé inteligence, které se stanou vaším osobním asistentem

  • 01 Dub 2023
  • 65