Zoom 视频会议软件安全漏洞:您的摄像头可能在您不知情的情况下被激活
Zoom 的视频会议软件存在安全隐患,其问题甚至比在 Mac 电脑上秘密运行的网络服务器更严重。即使在 Windows 系统中,您浏览的网站也可能在未经您许可的情况下启动摄像头拍摄。您只需点击一个链接,就可能面临隐私泄露的风险。这个问题不仅限于 Mac 用户,Windows 用户也同样受到威胁。
虽然最初的报告似乎表明 Zoom 的问题只存在于 macOS 系统中,但实际上 Windows 也容易受到攻击。如果您的 Zoom 设置为默认在会议中打开摄像头,那么恶意攻击者可以在网页中嵌入 Zoom 链接,并立即开始录制您的视频。无论您使用的是 Windows 还是 Mac,都可能发生这种情况。
Zoom 坚称“没有任何迹象表明这种情况曾发生过”。该公司将此视为一项功能,并表示如果您的 Zoom 客户端配置为在加入会议时自动打开摄像头,您实际上已经授予了此权限。
乔纳森·莱茨丘创建的概念验证网站证实了这一点。如果您安装了 Zoom 软件并访问该网站,Zoom 软件将自动启动,加入会议并开始使用您的摄像头进行录制。即使您之前卸载了 Zoom,macOS 系统仍可能发生这种情况,因为卸载后 Zoom 仍然会在后台运行一个秘密网络服务器。不过,即使在 Windows 系统上,只要您当前安装了 Zoom,它也会自动启动。
起初,乔纳森·莱茨丘在他的文章中暗示这个问题只存在于 macOS 系统上。但他在推文中澄清说:
? WINDOWS 和 MAC 用户?
如果您曾经在 Safari 以外的任何浏览器上选中此框,那么您也很容易受到攻击。pic.twitter.com/FbG2efEe0R
— 乔纳森·莱茨丘 (@JLLeitschuh) 2019 年 7 月 9 日
为了验证这个问题,我们安装了 Zoom 软件,并使用谷歌浏览器访问了莱茨丘的概念验证网站。
首次访问时,系统会提示您打开 Zoom 应用程序——假设您没有安装 Zoom。如果您勾选了“始终在关联的应用程序中打开这些类型的链接”,那么您可能就面临风险。很多人为了在将来避免额外点击,都会勾选这个选项。
下次访问该网站时,Zoom 会自动打开,将我们加入会议,并启动摄像头。我们没有点击任何提示,也没有给予任何授权。只要您安装了 Zoom,恶意网站就可以在您毫不知情的情况下轻易录制您的视频。
您可以看到 Zoom 窗口,并且会意识到自己正在被录制。但是,恶意网站很可能在您意识到并停止视频会议之前就已捕获了部分视频片段。
这是一个非常严重的问题。如果您不经常使用 Zoom,我们建议您将其卸载。如果必须安装,您可以在 Zoom 设置窗口的“视频”选项卡中关闭“加入会议时关闭我的视频”选项,以防止自动开启摄像头的情况发生。
在 macOS 系统上,请不要忘记检查并卸载 Zoom 的 Web 服务器。
令人担忧的是,Zoom 的 官方回应似乎表明该公司认为这是一个功能,而不是一个需要修复的问题。希望他们能尽快认识到问题的严重性并采取纠正措施。