※ 本文為 MindOcean 轉寄自 ptt.cc 更新時間: 2020-04-03 13:39:02
看板 Gossiping
作者 標題 [新聞] 研究人員揪出Windows版與macOS版的Zoom程
時間 Fri Apr 3 11:35:43 2020
※新聞內容含有政治人物、政府機關類、政治族群類請以[政治]為分類,違者刪除!
1.媒體來源:
※ 例如蘋果日報、自由時報(請參考版規下方的核准媒體名單)
ithome
https://i.imgur.com/J6YX7As.png
https://www.ithome.com.tw/
2.記者署名
文/陳曉莉 | 2020-04-02發表
3.完整新聞標題:
研究人員揪出Windows版與macOS版的Zoom程式漏洞
4.完整新聞內文:
因「在家上班」風潮而家喻戶曉的視訊會議平台Zoom本周又被揪出安全漏洞,而且是被不
同的安全研究人員找到macOS版與Windows版的Zoom程式漏洞,相關漏洞可能允許駭客擴張
權限,或是竊取Windows密碼。
同的安全研究人員找到macOS版與Windows版的Zoom程式漏洞,相關漏洞可能允許駭客擴張
權限,或是竊取Windows密碼。
揭露macOS版Zoom客戶端程式漏洞的,是網路安全公司VMRay的惡意程式研究人員Felix
Seele,以及專門研究macOS安全性的Objective-See。
研究人員發現,macOS版Zoom程式除了會擅自執行安裝程序之外,也含有權限擴張漏洞,
亦允許駭客注入程式以存取麥克風及攝影機。
Seele指出,Zoom的安裝程序採用了預先安裝的腳本程式,不需使用者作最後的確認,就
逕自將程式安裝在macOS上。
當使用者要加入一個Zoom會議時,會被要求下載及執行Zoom程式,通常會出現一些頁面來
讓使用者客製化及確認安裝,但Zoom的安裝程序卻跳過這些客製化與確認的步驟,而直接
執行預先安裝的腳本程式,此一預先安裝通常是在程式尚未確認硬體相容性時便執行了。
讓使用者客製化及確認安裝,但Zoom的安裝程序卻跳過這些客製化與確認的步驟,而直接
執行預先安裝的腳本程式,此一預先安裝通常是在程式尚未確認硬體相容性時便執行了。
雖然macOS會在執行預先安裝時提出警告,但跳出的訊息是「此一執行將確定能否安裝程
式」(will determine if the software can be installed),大多數的使用者會按下
同意,但它不只檢查硬體的相容性,還直接執行完整的安裝。
式」(will determine if the software can be installed),大多數的使用者會按下
同意,但它不只檢查硬體的相容性,還直接執行完整的安裝。
此外,若是需要管理權限才能安裝Zoom,跳出的訊息應該是「Zoom需要你的密碼才能更新
既有程式」之類的,但Zoom卻是使用了「系統需要你的權限進行變更」的文字敘述,完全
未提及品牌名稱,可能讓使用者誤解這是作業系統的需求而非Zoom,進而輸入自己的密碼
。
既有程式」之類的,但Zoom卻是使用了「系統需要你的權限進行變更」的文字敘述,完全
未提及品牌名稱,可能讓使用者誤解這是作業系統的需求而非Zoom,進而輸入自己的密碼
。
Seele表示,雖然Zoom並非惡意程式,但上述兩項手法都是macOS惡意程式才會有的行為。
Objective-See則在macOS版Zoom程式中發現了第三個問題,在Zoom請求使用者賦予該程式
存取攝影機及麥克風的權限時,含有一個排除條款,將允許惡意程式注入該程序,也許是
用來紀錄會議內容,或者是擅自存取裝置上的攝影機與麥克風。
Objective-See則在macOS版Zoom程式中發現了第三個問題,在Zoom請求使用者賦予該程式
存取攝影機及麥克風的權限時,含有一個排除條款,將允許惡意程式注入該程序,也許是
用來紀錄會議內容,或者是擅自存取裝置上的攝影機與麥克風。
除了macOS的Zoom程式之外,另一個代號為@_g0dmode的安全研究人員,則發現Windows版
的Zoom程式也含有安全漏洞。
該漏洞屬於UNC注入漏洞,允許駭客在Zoom程式的聊天功能中,把Windows網路的UNC路徑
轉成超連結,使用者點選時,Windows會透過SMB檔案分享功能來開啟遠端檔案,同時傳送
使用者的登入名稱及NTLM雜湊密碼,這時駭客只要透過免費工具,就能揭露使用者密碼。
轉成超連結,使用者點選時,Windows會透過SMB檔案分享功能來開啟遠端檔案,同時傳送
使用者的登入名稱及NTLM雜湊密碼,這時駭客只要透過免費工具,就能揭露使用者密碼。
5.完整新聞連結 (或短網址):
https://www.ithome.com.tw/news/136736
研究人員揪出Windows版與macOS版的Zoom程式漏洞 | iThome
研究人員揭發Zoom程式含有多項漏洞,可能允許駭客注入程式以存取麥克風及攝影機,或讓駭客利用Zoom程式的聊天功能,竊取用戶的Windows登入密碼 ...
研究人員揭發Zoom程式含有多項漏洞,可能允許駭客注入程式以存取麥克風及攝影機,或讓駭客利用Zoom程式的聊天功能,竊取用戶的Windows登入密碼 ...
6.備註:
Zoom大部分的研發團隊來自中國
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.165.46.220 (臺灣)
※ 文章代碼(AID): #1UXgyTW- (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1585884957.A.83E.html
→ : 這算是白帽駭客嗎?1F 04/03 11:36
噓 : 超爛 直接裝在C槽還不給改2F 04/03 11:38
推 : 中國app都有問題3F 04/03 11:43
推 : 一堆大學遠端教學指定軟體4F 04/03 11:46
→ : 大企業也愛用,從老闆推廣下來的5F 04/03 11:50
→ : 設計就是白痴也要會用 所以老闆最愛6F 04/03 12:14
推 : 勤洗手 戴口罩 別恐慌 小心五毛7F 04/03 12:15
--
※ 看板: Gossiping 文章推薦值: 0 目前人氣: 0 累積人氣: 382
回列表(←)
分享