«Никогда не устанавливайте Zoom на основной компьютер»: известный разработчик предупредил о рисках приложения
Разработчик Феликс Краузе (создатель утилиты fastlane и бывший сотрудник Google и Twitter) предупредил об опасности использования приложения Zoom. По его словам, в программе существует цепочка уязвимостей, которая позволяет злоумышленнику скомпрометировать другого пользователя через чат Zoom. Подробности — далее.
Что известно
В отчете, который опубликовали на сайте bugs.chromium, описывается цепочка уязвимостей, позволяющая злоумышленнику скомпрометировать другого пользователя через чат Zoom. Главная проблема в том, что для успешной атаки не требуется взаимодействия с пользователем. Злоумышленнику достаточно отправлять жертве сообщения через чат Zoom по протоколу XMPP.
Сообщается, что первоначальная уязвимость (обозначенная как XMPP Stanza Smuggling), использует несоответствия между парсерами XML на клиенте и сервере Zoom, чтобы иметь возможность незаметно передавать произвольные строфы XMPP на клиент жертвы. Оттуда, отправив специально созданную управляющую строфу, злоумышленник может заставить клиента-жертву подключиться к вредоносному серверу, тем самым превратив этот простой прием в так называемую атаку посредника.
В итоге, перехватывая/модифицируя запросы/ответы на обновления клиента, клиент-жертва загружает и выполняет вредоносное обновление, что приводит к выполнению произвольного кода. Эта downgrade-атака используется для обхода проверки подписи в программе установки обновлений. Данная атака была продемонстрирована на последней версии (5.9.3) клиента, работающего на 64-битной ОС Windows, однако некоторые или все части цепочки, вероятно, применимы и к другим платформам.
Подробнее о принципе работы атаки можно почитать здесь.
Что делать
По словам Феликса Краузе, Zoom в принципе нельзя доверять. Потому специалист советует никогда не устанавливать его на свой основной компьютер и использовать только приложение Zoom для iOS, так как на этой ОС реализован правильный sandboxing (среда для безопасного исполнения программы).
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: