يسمح العيب الأمني ​​المكتشف حديثًا في التكبير للمتسللين بالتحكم الكامل في Mac

اكتشفت Wardle خللين جديدين في Zoom. يمكن نشر كلا العيوب بواسطة مهاجم محلي نظرًا لسيطرتهما المادية على الكمبيوتر. بعد استغلال ناجح ، سيتمكن المهاجم من الوصول إلى كمبيوتر الضحية وتثبيت البرامج الضارة. أسوأ جزء هو أن الاستغلال يسمح للمهاجم بالحفاظ على وصول مستمر.

يشرح لنا Wardle خلال مشكلات الخصوصية في Zoom مثل اختراق كاميرا الويب الأخير ، ولا يوجد تشفير شامل يتعارض مع الادعاء ، وكان تطبيق iOS يرسل مؤخرًا بيانات المستخدم إلى Facebook. كما يحذر من أنه حتى المهاجمين المحليين ذوي الوصول المنخفض يمكنهم تثبيت كود خبيث وترقية وصولهم إلى مستوى الجذر. الوصول إلى مستوى الجذر هو أعلى وصول يمكن الحصول عليه. سيسمح الامتياز على مستوى الجذر للمهاجمين بالوصول إلى نظام التشغيل macOS وبالتالي تثبيت البرامج الضارة أو برامج التجسس في النهاية. وفي الوقت نفسه ، لن يرى المستخدم أي علامات على التطفل.

يكشف الخطأ الثاني مرة أخرى عن كيفية تعامل Zoom مع الوصول إلى كاميرا الويب والميكروفون على أجهزة Mac. تتطلب جميع التطبيقات على Mac أن يمنح المستخدمون إذنًا صريحًا للوصول إلى كاميرا الويب / الميكروفون. ومع ذلك ، يدعي Wardle أن المهاجمين يمكنهم حقن شفرة ضارة في Zoom وانتحالها لمنح نفس مستوى الوصول الذي يمتلكه Zoom بالفعل. بمعنى آخر ، بمجرد انتحال Zoom إلى تحميل الرمز الضار ، فسوف "يرث تلقائيًا" بعض أو كل حقوق الوصول إلى Zoom.

يضيف Wardle أنه "لن يتم عرض مطالبات إضافية ، وكان الرمز الذي تم إدخاله قادرًا على تسجيل الصوت والفيديو بشكل تعسفي." نظرًا لانتشار COVID-19 المستمر ، تستخدم غالبية القوى العاملة Zoom للتعاون مع زملائهم. نأمل أن يلاحظ Zoom الاستغلال وإصلاحه في أقرب وقت ممكن.

[عبر TechCrunch]