因「在家上班」而家喻戶曉的視頻會議平臺 Zoom 本週又被發現安全漏洞,而且是被不同的安全研究人員找到 macOS 版與 Windows 版的 Zoom 程序漏洞,相關漏洞可能允許黑客擴張權限,或是竊取 Windows 密碼。
發現 macOS 版 Zoom 客戶端程序漏洞的,是網路安全公司 VMRay 的惡意程序研究人員 Felix Seele,以及專門研究 macOS 安全性的 Objective-See。
研究人員發現,macOS 版 Zoom 程序除了會擅自執行安裝程序之外,也含有權限擴張漏洞,也允許黑客注入程序以存取麥克風和攝像頭。
Seele 指出,Zoom 的安裝程序採用了預先安裝的腳本程序,不需使用者作最後的確認,就自動將程序安裝在 macOS。
當使用者要加入一個 Zoom 會議時,會被要求下載及執行 Zoom 程序,通常會出現一些頁面來讓使用者確認安裝,但 Zoom 的安裝程序卻跳過這些確認的步驟,而直接執行預先安裝的腳本程序,此預先安裝通常是在程序尚未確認硬件兼容性時便執行了。
雖然 macOS 會在執行預先安裝時提出警告,但跳出的信息是「此執行將確定能否安裝程序」(will determine if the software can be installed),大多數的使用者會按下同意,但它不只檢查硬件的兼容性,還直接執行完整的安裝。
此外,如果是需要管理權限才能安裝 Zoom,跳出的信息應該是「Zoom需要你的密碼才能更新既有程序」之類的,但 Zoom 卻是使用了「系統需要你的權限進行變更」的文字敘述,完全未提及品牌名稱,可能讓使用者誤解這是操作系統的需求而非 Zoom,進而輸入自己的密碼。
Seele 表示,雖然 Zoom 並非惡意程序,但上述兩項手法都是 macOS 惡意程序才會有的行為。
Objective-See 則在 macOS 版 Zoom 程序中發現了第三個問題,在 Zoom 請求使用者賦予該程序存取攝像頭和麥克風的權限時,含有一個排除條款,將允許惡意程序注入該程序,也許是用來記錄會議屬性,或者是擅自存取設備上的攝像頭與麥克風。
除了 macOS 的 Zoom 程序之外,另一個代號為 _g0dmode 的安全研究人員,則發現 Windows 版的 Zoom 程序也含有安全漏洞。
該漏洞屬於 UNC 注入漏洞,允許黑客在 Zoom 程序的聊天功能中,把 Windows 網絡的 UNC 路徑轉成超鏈接,使用者點選時,Windows 會通過 SMB 文檔分享功能來開啟遠程文檔,同時傳送使用者的登錄名稱和 NTLM 密碼,這時黑客只要通過免費工具,就能發現使用者的密碼。
閱讀更多 AI智慧 的文章
