Breaking News

เตือนช่องโหว่บนซอฟต์แวร์ Zoom Video Conference ผู้ใช้ Mac เสี่ยงถูกไฮแจ็ก Webcam

Jonathan Leitschuh นักวิจัยด้านความมั่นคงปลอดภัยได้ออกมาแจ้งเตือนถึงช่องโหว่บนซอฟต์แวร์ Zoom บน Mac เสี่ยงอาจถุูกละเมิดความเป็นส่วนบุคคลด้วยการถูกสั่งเปิดกล้อง Webcam เมื่อเข้าถึงเว็บไซต์ไม่พึงประสงค์ได้ ที่แย่กว่านั้นคือยังไม่มีแพตช์ที่เหมาะสมสำหรับอุดช่องโหว่ และการถอนการติดตั้งซอฟต์แวร์ก็ไม่สามารถแก้ปัญหาได้

ช่องโหว่ที่ค้นพบนี้ใช้ประโยชน์จากฟีเจอร์ Click-to-join ที่ถูกออกแบบมาเพื่อให้เริ่มการทำงานของแอปพลิเคชัน Zoom ที่ติดตั้งอยู่บนเครื่องโดยอัตโนมัติ ซึ่งช่วยให้ผู้ใช้ Zoom สามารถเข้าประชุมออนไลน์ผ่านทางเว็บเบราว์เซอร์ได้อย่างรวดเร็วเมื่อทำการคลิกลิงค์เชิญ เช่น https://zoom.us/j/492468757

อย่างไรก็ตาม Leitschuh พบว่า เพื่อที่จะให้ฟีเจอร์นี้สามารถใช้งานได้ Zoom ได้ทำการติดตั้ง Local Web Server ไว้บนเครื่องผู้ใช้ผ่านทางพอร์ต 19421 ซึ่งทำหน้าที่คอยรับคำสั่งผ่าน HTTPS GET แต่วิธีการดังกล่าวกลับไม่มั่นคงปลอดภัย เนื่องจากเว็บไซต์ใดๆ ที่ผู้ใช้เปิดอยู่บนเว็บเบราว์เซอร์ก็สามารถติดต่อกับ Local Web Server ที่รันบนเครื่องได้เช่นเดียวกัน

นั่นหมายความว่า แฮ็กเกอร์สามารถล็อกอินเข้าเว็บไซต์ Zoom แล้วทำการสร้างลิงค์เชิญโดยระบุ Option ให้เปิดวิดีโอของผู้เข้าร่วมประชุมโดยอัตโนมัติ จากนั้นฝังลิงค์ดังกล่าวลงบนเว็บไซต์อื่นๆ ผ่านแท็ก Image หรือใช้ iFrame เมื่อเหยื่อที่ใช้ Mac และติดตั้งแอปพลิเคชัน Zoom เผลอเข้าถึงเว็บไซต์ดังกล่าว ก็จะถูกบังคับให้รันแอปพลิเคชัน Zoom พร้อมเปิดกล้อง Webcam ทันที ส่งผลให้แฮ็กเกอร์สามารถมองเห็นเหยื่อจากอีกฝั่งได้ ก่อให้เกิดการล่วงละเมิดความเป็นส่วนบุคคล

ที่แย่กว่านั้น แม้ว่าจะถอนการติดตั้งแอปพลิเคชัน Zoom ออกจากเครื่องไปแล้ว ก็ไม่สามารถแก้ไขปัญหาที่เกิดขึ้นได้ เนื่องจากฟีเจอร์ Click-to-join ยังคงสามารถรับคำสั่งและทำการติดตั้ง Zoom ใหม่โดยที่ไม่ต้องขออนุญาตใดๆ จากเจ้าของเครื่อง

ช่องโหว่นี้ส่งผลกระทบบนแอปพลิเคชัน Zoom เวอร์ชัน 4.4.4 ล่าสุดที่รันบน Mac โดย Leitschuh ได้รายงานช่องโหว่ไปยังทีมนักพัฒนาของ Zoom แต่ถึงแม้่ว่าจะผ่านไป 90 วันแล้ว Zoom ก็ยังไม่ออกแพตช์เพื่อแก้ไขปัญหาดังกล่าวอย่างเหมาะสม Leitschuh จึงตัดสินใจเปิดเผยช่องโหว่นี้สู่สาธารณะเพื่อแจ้งเตือนให้ผู้ใช้ Zoom บน Mac ทราบและแนะนำให้ผู้ใช้ตั้งค่าปิดวิดีโอเมื่อเข้าร่วมประชุมบน Zoom Preferences > Video > Turn off my video when joining a meeting

รายละเอียดเชิงเทคนิค: https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

ที่มา: https://thehackernews.com/2019/07/webcam-hacking-video-conferencing.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Sophos ปล่อยฟรีผลิตภัณฑ์ Sandboxie พร้อมเปิดโอเพ่นซอร์ส

Sandboxie เป็นหนึ่งในผลิตภัณฑ์ส่วน Commercial ของ Sophos ซึ่งเมื่อไม่กี่วันที่แล้วได้มีการตัดสินใจปล่อยให้ดาวน์โหลดได้ฟรี พร้อมประกาศเปิดเป็นโอเพ่นซอร์สในทุกฟีเจอร์แบบไม่มีกั๊ก

Malwarebytes ออก Extension ฟรี ช่วยผู้ใช้งาน Chrome และ Firefox เข้าเว็บอย่างปลอดภัย

Malwarebytes ได้ออก Browser Extension สำหรับผู้ใช้งาน Chrome และ Firefox เพื่อให้สามารถเข้าเว็บต่างๆ ได้อย่างมั่นคงปลอดภัย ทั้งหมดนี้ฟรีไม่มีค่าใช้จ่าย