«Ніколи не встановлюйте Zoom на основний комп’ютер»: відомий розробник попередив про ризики додатку

Розробник Фелікс Краузе (творець утиліти fastlane та колишній співробітник Google та Twitter) попередив про небезпеку використання програми Zoom. За його словами, у програмі існує ланцюжок вразливостей, який дозволяє зловмиснику скомпрометувати іншого користувача за допомогою чату Zoom. Подробиці – далі. 

Що відомо

У звіті, який опублікували на сайті bugs.chromium, описується ланцюжок вразливостей, що дозволяє зловмиснику скомпрометувати іншого користувача за допомогою чату Zoom. Головна проблема в тому, що для успішної атаки не потрібна взаємодія з користувачем. Зловмиснику достатньо надсилати жертві повідомлення через чат Zoom за протоколом XMPP.

Повідомляється, що початкова вразливість (позначена як XMPP Stanza Smuggling) використовує невідповідності між парсерами XML на клієнті та сервері Zoom, щоб мати можливість непомітно передавати довільні строфи XMPP на клієнт жертви. Звідти, відправивши спеціально створену строфу, що управляє, зловмисник може змусити клієнта-жертву підключитися до шкідливого сервера, тим самим перетворивши цей простий прийом на так звану атаку посередника.

У результаті, перехоплюючи/модифікуючи запити/відповіді на оновлення клієнта, клієнт-жертва завантажує та виконує шкідливе оновлення, що призводить до виконання довільного коду. Ця downgrade-атака використовується для обходу перевірки підпису в програмі інсталяції оновлень. Ця атака була продемонстрована на останній версії (5.9.3) клієнта, що працює на 64-бітній ОС Windows, проте деякі або всі частини ланцюжка, ймовірно, можна застосувати і до інших платформ.

Докладніше про принцип роботи атаки можна почитати тут.

Що робити

За словами Фелікса Краузе, Zoom в принципі не можна довіряти. Тому фахівець радить ніколи не встановлювати його на свій основний комп’ютер і використовувати лише програму Zoom для iOS, тому що на цій ОС реалізований правильний sandboxing (середовище для безпечного виконання програми).