Nowatorski sposób przechwycenia kamerki użytkownika bez żadnego ostrzeżenia. Wystarczy że wejdziesz na prostą stronę (oprogramowanie Zoom)

09 lipca 2019, 07:37 | W biegu | komentarze 4
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Ciekawa podatność w systemie konferencyjnym Zoom. Dotyczy ona komputerów pracujących pod kontrolą OS X (głównie macbooki), ale jest na tyle ciekawa, że warto prześledzić problem.

Jak się chwali producent tego oprogramowania:

Flawless Video. Clear audio. Instant Sharing.

Szczególnie Instant Sharing jest warty zainteresowania. Opisana podatność dotycząca komputerów pracujących pod kontrolą OS X umożliwia po wejściu na prostą stronę przechwycenie kamery ofiary. Wystarczy u siebie uruchomić konferencję oraz umieścić w źródłach strony HTML np. taki „obrazek”:

<img src=”http://localhost:19421/launch?action=join&confno=492468757″/>

Co tu się dzieje? Po wejściu ofiary na stronę, jej przeglądarka wykonuje żądanie HTTP, do serwisu który został zainstalowany przez Zoom. W tym momencie kamera włącza się automatycznie, a użytkownik (również automatycznie) podłączony zostaje do konferencji.

Inna ciekawostka to możliwość ponownej instalacji oprogramowania Zoom, jeśli ktoś kiedykolwiek wcześniej go zainstalował (uninstaller nie usuwa ww. usługi, które ma też opcję ponownej instalacji!).

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. CK

    Ehh… i zaraz będzie nowa fala userów zapaskudzających naklejkami webcamy w swoich lapkach, ze strachu że ktoś ich nagra jak siedzą z ręką w spodniach, zamiast się przejąć tym co faktycznie wypuszczają o sobie w sieci :-/.

    Odpowiedz
    • lw

      Ehh… kolejny pesymista. Kamerki powinno się zabezpieczać. Nigdy nie można być tego pewnym – a artykuł porusza kolejny tego przykład.
      Bezpieczeństwo przede wszystkim :) i wątpię, że ‚paskudzenie naklejkami webcamów’ komuś przeszkadza :)

      Odpowiedz
    • asdf

      chyba że przejmują się tym i tym ;)

      Odpowiedz
    • Radek

      A co złego jest w zaklejeniu kamerki?

      Odpowiedz

Odpowiedz