安全研究員發現 Zoom 連續三個漏洞,可讓駭客控制你的 Mac 電腦
一而再、再而三。
自動更新功能可以讓使用者無需煩心,應用程式能自動獲得最新、最有效的保護和功能,然而視訊會議工具 Zoom 卻被發現在此有漏洞,使得駭客能藉此控制你的 Mac 電腦。據 Wired 引述今年 DefCon 世界駭客大賽上,由 Mac 研究員 Patrick Wardle 發表的兩個漏洞研究顯示,Zoom 檢查簽署的功能未能阻擋駭客騙過程式,可以命令自動更新的下載器去下載更舊和存有漏洞的版本。而且這更簡單得只要把有問題檔案換個特定名字,就可以越過簽署檢查並安裝,駭客就能藉此獲得 root 存取,進而對目標的 Mac 進行控制。
有趣的是 The Verge 報導指 Wardle 早在 2021 年 12 年就向 Zoom 回報漏洞,官方也釋出了更新來修復,但這卻又帶來另一隻臭蟲。第二個漏洞是駭客能夠規避 Zoom 在檢查是否下載得最新版本的工具,同樣也是能使其安裝有問題版本。
好了,Zoom 再、再修復了漏洞之後,Wardle 又再發現另一個問題,而這也是最新一個在大會發表的。他發現到原來在自動更新工具的軟體封包檢查步驟和確實安裝之間,是有著時間差的,同時更新包還保留了原來的讀寫授權,讓任何人都可以修改,駭客不用獲得 root 權限也可以趁機「加料」,把有問題的代碼加進更新包之中。
Zoom 在回覆 The Verge 的查詢時,指他們已經努力修復有關漏洞。Wired 另外也指,現存的漏洞需要獲得已有的授權才能夠進行攻擊,所以風險相對較低。無論如何,自動更新功能還是建議使用的,大家就先不要被這次的連環出包嚇壞吧。