最近因為新冠肺炎疫情,許多公司改採遠端工作、在家工作,視訊會議軟體 Zoom 近期又開始掀起討論,但其實 Zoom 過去曾經也有不少爭應,去年被爆出在 Mac 上有資安漏洞。原因是 Zoom 可以讓任何網站,在未經許可之下,把用戶連接到 Zoom 會議並且開啟電腦鏡頭(甚至即使解除安裝都還是有這個可能性)
有位資安專家強納森萊特舒( Jonathan Leitschuh )發現,這個漏洞會透過 Zoom 分享會議連結的功能,把惡意連結寄給用戶,用戶只要不小心開啟一次,就會不斷被強制加入會議裡面,這種攻擊稱為 DOS ( Denial of Service )。最恐怖的是,即使解除安裝,地方網路伺服器還是會幫用戶的電腦,自動重新連結到 Zoom 的客戶端。
用戶端這邊該怎麼自保,資安專家建議,只要是 Mac 的使用者,可以在 Zoom 的設定中,選擇「加入會議時關掉相機」( Turn off my video when joining a meeting,如下圖),保護自己個資不被攻擊。
:no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/18297192/1_mRgy9JoJKkjSRp_xjSYomw.png)
這個漏洞原本是在 2019 年 3 月 26 日被發現,原本是向用戶寄出「快速修復」的要求,Zoom 就能簡單地改變伺服器 Logic,雖然已經被發現並且向 Zoom 通報,但漏洞至今仍未被修復。Zoom 官方對外媒的回應說,解決方法就是更新到最新版,並開放使用者在首次加入通話時,讓他們自己選擇是否開啟鏡頭。
(首圖來源:Zoom Taiwan 臉書粉絲團)
參考資料
- MAC 使用者小心被偷看!視訊獨角獸「ZOOM」爆發零日漏洞
- 驚爆資安漏洞!視訊會議軟體Zoom能偷偷開啟Mac用戶鏡頭
- Hackers can hijack your Mac webcam with Zoom. Here’s how to prevent it.
