ru:https://highload.today/nikogda-ne-ustanavlivajte-zoom-na-osnovnoj-kompyuter-izvestnyj-razrabotchik-predupredil-o-riskah-prilozheniya/ ua:https://highload.today/uk/nikoli-ne-vstanovlyujte-zoom-na-osnovnij-komp-yuter-vidomij-rozrobnik-poperediv-pro-riziki-dodatku/
logo
Новости 26/05/2022

«Никогда не устанавливайте Zoom на основной компьютер»: известный разработчик предупредил о рисках приложения

Богдан Мирченко

Редактор новостей

Разработчик Феликс Краузе (создатель утилиты fastlane и бывший сотрудник Google и Twitter) предупредил об опасности использования приложения Zoom. По его словам, в программе существует цепочка уязвимостей, которая позволяет злоумышленнику скомпрометировать другого пользователя через чат Zoom. Подробности — далее. 

Что известно

В отчете, который опубликовали на сайте bugs.chromium, описывается цепочка уязвимостей, позволяющая злоумышленнику скомпрометировать другого пользователя через чат Zoom. Главная проблема в том, что для успешной атаки не требуется взаимодействия с пользователем. Злоумышленнику достаточно отправлять жертве сообщения через чат Zoom по протоколу XMPP.

Сообщается, что первоначальная уязвимость (обозначенная как XMPP Stanza Smuggling), использует несоответствия между парсерами XML на клиенте и сервере Zoom, чтобы иметь возможность незаметно передавать произвольные строфы XMPP на клиент жертвы. Оттуда, отправив специально созданную управляющую строфу, злоумышленник может заставить клиента-жертву подключиться к вредоносному серверу, тем самым превратив этот простой прием в так называемую атаку посредника.

В итоге, перехватывая/модифицируя запросы/ответы на обновления клиента, клиент-жертва загружает и выполняет вредоносное обновление, что приводит к выполнению произвольного кода. Эта downgrade-атака используется для обхода проверки подписи в программе установки обновлений. Данная атака была продемонстрирована на последней версии (5.9.3) клиента, работающего на 64-битной ОС Windows, однако некоторые или все части цепочки, вероятно, применимы и к другим платформам.

Подробнее о принципе работы атаки можно почитать здесь.

Что делать

По словам Феликса Краузе, Zoom в принципе нельзя доверять. Потому специалист советует никогда не устанавливать его на свой основной компьютер и использовать только приложение Zoom для iOS, так как на этой ОС реализован правильный sandboxing (среда для безопасного исполнения программы).

Курс Frontend від Mate academy.
Frontend розробник може легко створити сторінки вебсайту чи вебдодаток. Тому після курсу ви станете затребуваним фахівцем у сфері, що розвивається.
Інформація про курс
Главная > Новости > «Никогда не устанавливайте Zoom на основной компьютер»: известный разработчик предупредил о рисках приложения
Как слинять с онлайн-встречи в Zoom

Акции Zoom обвалились на 90% с пиковых показателей

Zoom интегрировал ШИ Open AI: есть виртуальный коворкинг и можно «догонять» митинги

«Трудно знакомиться и завоевывать доверие»: в Zoom объяснили возвращение работников в офисы

Усталость от Zoom сильнее, чем от личных встреч — исследование

Ваша жалоба отправлена модератору

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить

Полезные решения для тех,
кто пишет код

Присоединяйтесь
к сообществу: