视像会议服务 Zoom 软件发现漏洞　一条连结可骑劫 Mac 机镜头

网络保安研究员 Jonathan Leitschuh 日前公开视像会议服务供应商 Zoom 为 Mac 机而设计的程式存在漏洞，在 Mac 机里安装了一个服务器来自动在幕后安装 Zoom 的会议程式，这让网站有机会透过特别的连结，未得用户同意下在 Mac 机上自动开启视像会议，偷看受害者的活动。 Zoom 在漏洞被公开之后终于推出修正档修正漏洞。

Zoom 为个人和企业用户提供视像会议产品和服务

有关的漏洞是由 Zoom 的 Mac 程式里装了一个网页服务器引发的，该服务器会接受请求来自动开启视像会议，而即使用户移除了该程式，网页服务器仍然会残留在机内继续接受请求，而且还会自动在 Mac 机里全装 Zoom 程式，但没有请求用户批准。

This Zoom vulnerability is bananas. I tried one of the proof of concept links and got connected to three other randos also freaking out about it in real time. https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf

- Matt Haughey (@mathowie) July 9, 2019

根据 Leitschuh 的示范，用户如果之前在 Mac 机上安装过 Zoom 的会议程式，只要点击连结，就会自动开启 Mac 机的镜头加入会议，而事前不需要 Mac 机用户同意。而在 Twitter 上亦有网民证实漏洞可行，可以开启不认识的人的 Webcam 实时观看对方一举一动。另外，恶意攻击者还可以不停向 Mac 机上的服务器发送大量请求，来瘫痪该 Mac 机。

由于程式在 Mac 机里安装的网页服务器会在幕后执行，只要一条简单连结就可以自动开启视像会议。

其实 Leitschuh 三月时就已知会 Zoom 方面，并给他们 30 日时间修正漏洞。但 Zoom 没有如期修正，所以 Leitschuh 就依照原定日程公开有关漏洞。 Leitschuh 亦同时通知了 Chrome 和 Firefox 的开发团队，不过由于这个漏洞不是出自那些浏览器，所以两个团队都无法做什么修补。

最初 Zoom 认为这只是个低风险漏洞，指这功能可以方便用户参加视像会议。不过最终 Zoom 亦低头，发布更新档删除装在 Mac 机上的网页服务器。修正档同时提供手动完全移除 Zoom 程式的选项。 Zoom 还公布会在本周末推出另一次更新，用户可以选择在开启新会议时预设关闭 Webcam 。

Zoom 本来坚持使用网页服务器存在很大风险，但听取了网络保安社群的意见后，决定推出修订移除服务器。