因「在家上班」而家喻户晓的视频会议平台 Zoom 本周又被发现安全漏洞,而且是被不同的安全研究人员找到 macOS 版与 Windows 版的 Zoom 程序漏洞,相关漏洞可能允许黑客扩张权限,或是窃取 Windows 密码。
发现 macOS 版 Zoom 客户端程序漏洞的,是网路安全公司 VMRay 的恶意程序研究人员 Felix Seele,以及专门研究 macOS 安全性的 Objective-See。
研究人员发现,macOS 版 Zoom 程序除了会擅自执行安装程序之外,也含有权限扩张漏洞,也允许黑客注入程序以存取麦克风和摄像头。
Seele 指出,Zoom 的安装程序采用了预先安装的脚本程序,不需使用者作最后的确认,就自动将程序安装在 macOS。
当使用者要加入一个 Zoom 会议时,会被要求下载及执行 Zoom 程序,通常会出现一些页面来让使用者确认安装,但 Zoom 的安装程序却跳过这些确认的步骤,而直接执行预先安装的脚本程序,此预先安装通常是在程序尚未确认硬件兼容性时便执行了。
虽然 macOS 会在执行预先安装时提出警告,但跳出的信息是「此执行将确定能否安装程序」(will determine if the software can be installed),大多数的使用者会按下同意,但它不只检查硬件的兼容性,还直接执行完整的安装。
此外,如果是需要管理权限才能安装 Zoom,跳出的信息应该是「Zoom需要你的密码才能更新既有程序」之类的,但 Zoom 却是使用了「系统需要你的权限进行变更」的文字叙述,完全未提及品牌名称,可能让使用者误解这是操作系统的需求而非 Zoom,进而输入自己的密码。
Seele 表示,虽然 Zoom 并非恶意程序,但上述两项手法都是 macOS 恶意程序才会有的行为。
Objective-See 则在 macOS 版 Zoom 程序中发现了第三个问题,在 Zoom 请求使用者赋予该程序存取摄像头和麦克风的权限时,含有一个排除条款,将允许恶意程序注入该程序,也许是用来记录会议属性,或者是擅自存取设备上的摄像头与麦克风。
除了 macOS 的 Zoom 程序之外,另一个代号为 _g0dmode 的安全研究人员,则发现 Windows 版的 Zoom 程序也含有安全漏洞。
该漏洞属于 UNC 注入漏洞,允许黑客在 Zoom 程序的聊天功能中,把 Windows 网络的 UNC 路径转成超链接,使用者点选时,Windows 会通过 SMB 文档分享功能来开启远程文档,同时传送使用者的登录名称和 NTLM 密码,这时黑客只要通过免费工具,就能发现使用者的密码。
閱讀更多 AI智慧 的文章
