Jonathan Leitschuh นักวิจัยด้านความปลอดภัยพบช่องโหว่แบบ Zero-day ในแอพพลิเคชั่น Zoom บน Mac ซึ่งปกติมีไว้สำหรับการประชุมผ่านวิดีโอ ช่องโหว่ดังกล่าวจะทำให้ทุกเว็บไซต์สามารถเข้าถึง Webcam ของ Mac ได้เต็มรูปแบบ ถึงแม้จะลบแอพออกไปแล้วก็ตาม
เมื่อเจ้าของ Mac ทำการติดตั้งแอพ Zoom ก็จะต้องยอมรับการติดตั้งเว็บเซิร์ฟเวอร์ลงไปด้วย ซึ่งเว็บเซิร์ฟเวอร์นี่เองที่ทำให้เกิดช่องโหว่
โดยพื้นฐานแล้วเว็บเซิร์ฟเวอร์ของ Zoom จะทำงานอยู่ในพื้นหลัง ทำให้เว็บไซต์สามารถบังคับให้แอพ Zoom เปิดใช้งานวีดีโอคอล โดยไม่จำเป็นต้องขออนุญาตจากผู้ใช้ และเมื่อผู้ใช้งานคลิกที่ Link ก็จะเข้าสู่การประชุมผ่านวิดีโอพร้อมเปิดใช้งานกล้อง Webcam โดยอัตโนมัติ ถึงแม้จะลบแอพ Zoom ออกไปแล้วก็ตาม
สำหรับวิธีป้องกันช่องโหว่นี้ ให้เข้าไปที่หน้าต่างการตั้งค่าของ Zoom แล้วเปิดฟีเจอร์ “Turn off my video when joining a meeting”
This Zoom vulnerability is bananas. I tried one of the proof of concept links and got connected to three other randos also freaking out about it in real time. https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf
— Matt Haughey (@mathowie) 9 กรกฎาคม 2562
ที่มา – 9to5Mac
https://www.flashfly.net/wp/259026