Недавно обнаруженная уязвимость в безопасности приложения Zoom, по всей видимости, была не единственной. Хотя Apple вовремя отреагировала и выпустила тихое обновление системы, тут же появились ещё две программы с такой же уязвимостью.
Подход macOS к использованию аппаратного обеспечения с программным обеспечением всегда был образцовым. Особенно последняя версия бескомпромиссно пытается отделить приложения от использования периферийных устройств, таких как микрофон или веб-камера. При его использовании он должен вежливо попросить пользователя предоставить доступ. Но здесь возникает определенный камень преткновения, поскольку разрешённый доступ можно использовать повторно.
Аналогичная проблема произошла с приложением Zoom, ориентированным на видеоконференции. Однако один из экспертов по безопасности заметил брешь в безопасности и сообщил об этом создателям и Apple. Обе компании затем выпустили соответствующий патч. Zoom выпустил исправленную версию приложения, а Apple выпустила автоматическое обновление безопасности.
Ошибка, связанная с использованием фонового веб-сервера для отслеживания пользователя через веб-камеру, устранена и больше не повторится. Но коллега первооткрывателя исходной уязвимости Каран Лайонс продолжил поиски. Он сразу нашел две другие программы из той же отрасли, которые страдают точно такой же уязвимостью.
Есть много приложений, таких как Zoom, у них есть общая идея.
Приложения для видеоконференций Ring Central и Zhumu, наверное, не популярны в нашей стране, но они являются одними из самых популярных в мире, и им доверяют более 350 XNUMX компаний. Так что это действительно достойная угроза безопасности.
Однако между Zoom, Ring Central и Zhumu существует прямая связь. Это так называемые приложения «white label», которые по-чешски перекрашиваются и модифицируются под другого клиента. Тем не менее, они имеют общую архитектуру и код, поэтому различаются в первую очередь пользовательским интерфейсом.
Обновление безопасности macOS, скорее всего, будет недостаточным для этих и других копий Zoom. Apple, вероятно, придется разработать универсальное решение, которое будет проверять, работают ли установленные приложения на собственном веб-сервере в фоновом режиме.
Также важно будет следить за тем, не остаются ли после удаления такого программного обеспечения разного рода остатки, которые затем могут быть использованы злоумышленниками. Путь выпуска патчей для всех возможных ответвлений приложения Zoom может в худшем случае означать, что Apple выпустит до десятков подобных обновлений системы.
Будем надеяться, что мы не доживем до того времени, когда, как пользователи ноутбуков с Windows, мы будем заклеивать веб-камеры наших MacBook и iMac.
Ну а если приложение устанавливает туда веб-сервер, который продолжает работать даже после того, как я закрываю приложение, то это все очень печально..
Разработчик: «Должны ли мы сделать это хорошо? Это будет стоить плюс-минус xxx $$$ и будет иметь определённые ограничения…»
Менеджер: «Нет, у вас на это есть неделя и нам нужны все возможности, поэтому делайте это быстро, особенно если это как-то работает…»
Петр Шкута 
Амайя Томан 
Ну а если приложение устанавливает туда веб-сервер, который продолжает работать даже после того, как я закрываю приложение, то это все очень печально..
Разработчик: «Должны ли мы сделать это хорошо? Это будет стоить плюс-минус xxx $$$ и будет иметь определённые ограничения…»
Менеджер: «Нет, у вас на это есть неделя и нам нужны все возможности, поэтому делайте это быстро, особенно если это как-то работает…»