知名云端视讯应用 Zoom 近日遭发现存在零日漏洞,资安研究人员 Jonathan Leitschuh 表示,这个漏洞可以让不肖人士透过网页控制使用者的 Mac 镜头,且最令人骇怕的是,即使使用者已经将 Zoom 应用程序解除安装,这个漏洞也不会消失。
根据国外媒体报导,当使用者在 Mac 上安装 Zoom 应用程序后,系统会自动安装一个网页服务器,并且拥有比一般浏览器更高的访问权限。这个网页服务器平时会在后台运作,因此不肖人士就能利用这点强迫其他使用者加入视讯会议,在毋须使用者同意的情况下就能开启摄影镜头。
且即使使用者将应用程序解除安装,装置上仍会留有本机的网页服务器,能够为使用者进行 Zoom 客户端的重新安装。而这项操作除了需要使用者造访网页之外,不需要任何其他的动作即可完成,目前这项功能也在持续使用当中。
事后 Zoom 官方也出面回应表示他们计划推出一系列的更新来解决这些资安问题。