Zoom for Mac让黑客很容易就能访问网络摄像头

更新7：23pmET：当这篇文章被报道时，缩放开发人员逆转了他们以前的立场，并发布了一个更新，以改变有争议的行为。

佐姆的乔纳森·法利写道：“最初，我们并不认为网络服务器或视频对我们的客户有很大的风险，事实上，我们认为这些对于我们无缝的连接过程是必不可少的。” 「但在过去24小时内，我们已接获用户的强烈要求，决定更新服务。」

更新后作出以下修改：

缩放开发人员还添加了关于前面提到的更新的新细节，该更新现在定于周五进行。 一定会的

下面是早些时候的故事：

一个最简单的方法来判断某人是否是计算机安全的实践者是看他们的笔记本电脑。 如果摄像头被胶带或贴纸覆盖，它们很可能是。 最近发表的一份关于Mac的缩放会议应用程序的报告强调了为什么这种做法是有意义的。

研究人员乔纳森·利茨丘星期一报告说，在某些情况下，网站会自动导致访问者加入他们的摄像头打开的电话。 不难想象，这是一个问题，人们在他们的浴袍或在一个敏感的商业会议中间，因为恶意链接将不会事先发出警告，它将打开缩放和广播，无论什么是针对相机。

缩放开发人员几乎可以肯定地打算使用这种行为，以便更容易使用Web会议应用程序。 但是，除非用户事先适当地调整了设置，否则Lietschuh的研究结果表明，不法分子如何能够将这种易用性转向不知情的用户。 一个概念利用的证明在这里是可用的，但读者要被警告：取决于你的变焦设置，你的网络摄像头可能很快就会发送它所看到的完美陌生人。

Leitschuh写道：“这一漏洞允许任何网站在未经用户允许的情况下，强行将用户加入到缩放呼叫中，并激活其摄像机。”

莱特舒在那里基本上是正确的。 单击链接将自动打开缩放并加入调用。 但正如前面提到的，只有当Zoom被配置为打开相机开始会议时，才会收集视频。 一些媒体报道和社交媒体评论员说，这种行为允许网站“劫持”Mac网络摄像头。 我认为这是一个延伸，因为（1)很明显，变焦是打开和广播任何相机看到的和(2）很容易立即离开会议或简单地关闭相机。

更重要的是，防止视频抓取涉及到一次性点击到Zoom首选项中的一个框，在加入视频时保持视频关闭。 但用户要小心：即使这种设置是打开的，网站仍然可以迫使Mac打开缩放和参加会议。

这并不是说莱特舒所披露的威胁仅仅是在挥手。 不是的。 但它强调了几乎不可能的平衡行为开发商必须打击。 使一个功能太难使用，人们将转移到一个竞争的产品。 让它变得太容易，攻击者可能会滥用它来做开发人员从未想过的坏事。

在这种情况下，Zoom开发人员应该警告说，自动加入视频打开会议的能力是一个强大的功能，可以用来损害用户的隐私。 相反，开发人员让用户在没有预先指导的情况下决定。 （相比之下，加入变焦会议时，音频会自动关闭。） 换句话说，Zoom开发人员使这种自动网络摄像头连接方式太容易了。 回想起来，多亏了莱茨初的帖子，这是很容易看到的。

针对Leitschuh的披露，Zoom的Richard Farley说，该公司将在本月推出一项更新，将“应用并保存用户的视频偏好，从他们的第一次Zoom会议到所有未来的Zoom会议。” 法利没有说Zoom是否会提供指导，许多用户需要做出明智的选择。

利齐赫的研究发现了Zoom for Mac的另一种行为，这也令有安全意识的人感到不安。 该应用程序安装了一个webserver，它接受来自连接到同一本地网络的其他设备的查询。 即使Mac用户卸载缩放，此服务器也会继续运行。 莱茨楚展示了这个webserver是如何被同一个网络上的人滥用来迫使Mac重新安装应用程序的。

很明显这不好。 虽然webserver只能访问同一网络上的设备，但这仍然暴露了使用不受信任网络的人。 如果黑客在webserver中遇到代码执行漏洞，那么滥用的可能性就更大了。 法利说，Zoom引入了webserver，作为一种方法来解决Safari12中引入的更改，该更改要求用户在参加会议之前每次想启动Zoom应用程序时都要点击确认。

法利写道：“我们认为，这是解决用户体验不佳问题的合法方法，可以让我们的用户有更快的、一键连接的会议。” “在实施这一解决办法方面，我们并不是唯一的视频会议供应商。

独立安全研究人员KevinBeaumont在Twitter上说，Mac的蓝色牛仔裤视频会议应用程序也打开了一个Web服务器。 没有证据表明Leitschuh报告的行为是在Zoom forW indows中发现的。

正如自动网络摄像头在参加会议时的情况一样，Zoom实现一个网络服务器是一种方便，这可能会带来安全成本。 这两种行为都不是一个关键的漏洞，但他们确实建议Zoom开发人员可以做更多的工作来锁定他们的应用程序的Mac版本，特别是对于可能对安全问题没有太多认识的用户来说。

这就是预防措施的地方，比如摄像头上的胶带。 用户永远不能确定开发人员已经充分保护了他们的应用程序免受黑客攻击或滥用，因此最终用户的责任在于补偿。 防止滥用Zoom或其他Web会议软件的其他方法是使用像Little Snitch这样的应用程序，并将其配置为只在有限的时间内允许会议软件Internet访问。 另一种自助保护是配置macOS，使Zoom只能在需要时访问网络摄像头。

是的，这些额外的保护可能是一个麻烦。 但它们也强调了便利与安全之间的根本紧张关系。