在研究人員發(fā)現(xiàn)桌面應用程序的漏洞后 Zoom面臨更多的隱私問題

研究人員發(fā)現(xiàn)，Zoom Video Communications Inc.的Mac和Windows應用程序存在此前未披露的安全缺陷，黑客可能會利用這些缺陷進行網(wǎng)絡攻擊。

這些漏洞可能會引發(fā)人們對視頻會議提供商數(shù)據(jù)保護做法的新的擔憂，這些做法已經(jīng)成為紐約總檢察長辦公室(New York attorney general "s office)審查的對象。

企業(yè)軟件制造商Jamf software LLC的首席安全研究員帕特里克?沃德爾(Patrick Wardle)今天分享了Zoom公司Mac應用程序中兩個安全缺陷的細節(jié)。Wardle告訴TechCrunch，利用這些漏洞需要攻擊者首先獲得對目標機器的物理訪問權。這意味著，他們對絕大多數(shù)Zoom用戶的風險是有限的，但從理論上講，這些漏洞仍然可以在有針對性的窺探活動中加以利用。

第一個漏洞可以將惡意代碼注入到Zoom應用程序文件中，從而破壞Mac用戶的攝像頭和麥克風。第二個漏洞可以使黑客獲得對目標計算機的根訪問權。具有根訪問權限的攻擊可以將macOS操作系統(tǒng)的底層組件操縱到各種惡意端，例如植入后門以供將來使用。

另外，BleepingComputer周二晚間報告稱，Windows版本的Zoom存在一個安全漏洞，黑客可以利用該漏洞遠程攻擊用戶。

Zoom客戶端的聊天功能存在缺陷。視頻會議平臺自動將發(fā)布到會議聊天窗口的鏈接轉(zhuǎn)換成可點擊的超鏈接，如果不是因為該軟件還使UNC路徑可點擊，這一功能將是無害的。UNC路徑本質(zhì)上是一個到遠程系統(tǒng)的鏈接，如果不小心被不知情的Zoom用戶單擊，就會導致Windows通過web連接到指定的系統(tǒng)。

操作系統(tǒng)通過發(fā)送用戶的登錄名和密碼的散列版本來執(zhí)行此過程。一旦掌握了受害者的憑據(jù)，攻擊者就可以使用幾種免費的解密工具中的任何一種輕松地破解散列密碼，從而獲得其Windows帳戶的登錄憑據(jù)。

安全漏洞的發(fā)現(xiàn)，可能會給一周以來該公司的公眾形象已經(jīng)遭受多次打擊的情況增加更多爭議。周一，紐約總檢察長萊蒂夏·詹姆斯(Letitia James)的辦公室向Zoom發(fā)出了一封信函，要求Zoom提供有關其安全和隱私政策的信息。就在同一天，該公司還遭到了一起集體訴訟，起因是最近有消息稱，該公司向Facebook發(fā)送了一些用戶的數(shù)據(jù)，卻沒有在隱私政策中披露這種做法。

Zoom的股價今天下跌了6%以上。該公司的庫存自1月份以來已增加了一倍多，原因是在大流行期間，人們對通訊工具的需求激增。

為顯示您對我們使命的支持，請點擊訂閱我們的YouTube頻道(如下)。我們的訂閱者越多，YouTube就會向您推薦更多相關的企業(yè)和新興技術內(nèi)容。謝謝!

支持我們的使命:gt; gt; gt; gt; gt; gt;訂閱現(xiàn)在在在在在在在轉(zhuǎn)到我們的YouTube頻道。

我們還想告訴您我們的任務，以及您如何幫助我們完成任務。SiliconANGLE Media Inc.的商業(yè)模式是基于內(nèi)容的內(nèi)在價值，而不是廣告。與許多在線出版物不同，我們沒有付費墻，也沒有橫幅廣告，因為我們想讓我們的新聞保持開放，不受影響，也不需要追逐流量。硅角的新聞、報道和評論——以及來自我們硅谷工作室的現(xiàn)場無腳本視頻，以及大英博物館環(huán)球視頻團隊——需要大量的辛勤工作、時間和金錢。保持高質(zhì)量需要與我們的無廣告新聞內(nèi)容的愿景一致的贊助商的支持。

如果你喜歡這里的報道、視頻采訪和其他不含廣告的內(nèi)容，請花點時間來看看我們贊助商支持的視頻內(nèi)容樣本，在twitter上發(fā)布你的支持，然后繼續(xù)訪問iliconangle。