Hãy chiến đấu tại Zoom. Nhà cung cấp giải pháp hội nghị web đã phát hành một bản vá vào tuần trước nhằm sửa một lỗ hổng bảo mật trong phiên bản Mac của ứng dụng trò chuyện video trên máy tính để bàn cho phép tin tặc chiếm quyền kiểm soát webcam của người dùng. Nhà cung cấp giải thích rằng không có dấu hiệu cho thấy việc khai thác ảnh hưởng đến người dùng. Nhưng những lo ngại về lỗ hổng và cách nó hoạt động đã đặt ra câu hỏi về việc liệu các ứng dụng tương tự khác cũng có thể dễ bị tấn công hay không. Theo nhà nghiên cứu bảo mật Karan Lyons, giờ chúng tôi biết rằng chính xác là như vậy, lỗ hổng này cũng ảnh hưởng đến các giải pháp RingCentral và Zhumu, được cung cấp bởi Zoom, theo nhà nghiên cứu bảo mật Karan Lyons. Lỗ hổng được phát hiện bởi nhà nghiên cứu bảo mật, Jonathan Leitschuh, người đã công bố thông tin về nó trong một bài đăng trên blog của mình. Nhà nghiên cứu cho biết lỗ hổng này có khả năng ảnh hưởng đến 750.000 doanh nghiệp và khoảng 4 triệu người sử dụng Zoom. Lỗ hổng liên quan đến một tính năng trong ứng dụng Zoom cho phép người dùng nhanh chóng tham gia cuộc gọi điện video bằng một cú nhấp chuột, thông qua một liên kết URL duy nhất ngay lập tức đưa người dùng vào cuộc họp video. Tính năng này được thiết kế để khởi chạy ứng dụng một cách nhanh chóng và liền mạch nhằm mang lại trải nghiệm người dùng tốt hơn. Mặc dù Zoom cung cấp cho người dùng tùy chọn tắt máy ảnh trước khi thực hiện cuộc gọi – và sau đó người dùng có thể tắt máy ảnh trong cài đặt ứng dụng – mặc định là để máy ảnh bật.

Jonathan Leitschuh lập luận rằng tính năng này có thể được sử dụng cho các mục đích xấu. Bằng cách hướng người dùng đến một trang web có chứa liên kết tham gia nhanh được nhúng và ẩn trong mã của trang web, ứng dụng Zoom do đó có thể được kẻ tấn công khởi chạy, điều này sẽ có tác dụng kích hoạt máy ảnh và / hoặc micrô mà không có sự cho phép của người dùng . Điều này có thể thực hiện được vì Zoom cũng cài đặt máy chủ web khi tải xuống ứng dụng dành cho máy tính để bàn. Sau khi được cài đặt, nó vẫn còn trên thiết bị, ngay cả sau khi xóa ứng dụng Zoom. Sau khi thông báo của nhà nghiên cứu bảo mật được phát hành, Zoom ban đầu cố gắng giảm bớt những lo ngại về máy chủ web này trước khi thông báo phát hành một bản vá khẩn cấp để loại bỏ nó khỏi các thiết bị Mac. “Lúc đầu, chúng tôi không nghĩ rằng máy chủ web này gây ra rủi ro đáng kể cho khách hàng của chúng tôi và trên thực tế, chúng tôi cảm thấy nó rất quan trọng đối với quá trình tham gia liền mạch của chúng tôi,” Richard Farley, CISO của Zoom, cho biết trong một bài đăng trên blog. “Nhưng nghe thấy sự phản đối kịch liệt từ một số người dùng của chúng tôi và cộng đồng bảo mật trong 24 giờ qua, chúng tôi đã quyết định cập nhật dịch vụ của mình. Apple cũng đã phát hành một bản cập nhật “im lặng” vào thứ Tư tuần trước, loại bỏ máy chủ web khỏi tất cả các thiết bị Mac, theo Techcrunch. Do đó, bản cập nhật này sẽ có thể bảo vệ những người dùng đã loại bỏ tính năng thu phóng.

Một lỗ hổng bảo mật khác nhau được các chuyên gia tiếp nhận

Mức độ nghiêm trọng của lỗ hổng đã làm dấy lên nhiều lo ngại. Theo Buzzfeed News, Jonhatan Leitschuh đánh giá mức độ nghiêm trọng của nó là 8,5 / 10 trong khi Irwin Lazar, Phó Chủ tịch kiêm Giám đốc Dịch vụ tại Nemertes Research, đánh giá thấp lỗ hổng bảo mật và nói rằng nó không nên là một mối lo ngại lớn đối với các doanh nghiệp. “Tôi không nghĩ nó quan trọng lắm,” anh nói. “Rủi ro là ai đó nhấp vào một liên kết, khởi động ứng dụng khách Zoom của họ và kết nối với cuộc họp. Irwin Lazar nói. Daniel Newman, đối tác sáng lập và nhà phân tích chính tại Futurum Research, cho biết, mặc dù bản thân lỗ hổng vẫn chưa được khai thác, nhưng thời gian Zoom để trả lời vấn đề này đang được quan tâm nhiều hơn. “Từ thứ Ba đến thứ Tư, mức độ quan trọng của lỗ hổng không giống nhau. Nhưng điều quan trọng đối với các công ty là sự tồn tại của vấn đề trong nhiều tháng, khả năng hoàn tác các bản vá lỗi ban đầu, tái tạo lỗ hổng bảo mật và đảm bảo rằng bản vá lỗi gần đây nhất là giải pháp lâu dài ”.

Bản sửa lỗi đầy đủ chỉ được Zoom đưa ra trong lần thứ hai. Daniel Newman giải thích: “Cuối cùng, Zoom đã không thể nhanh chóng xác nhận rằng lỗ hổng được báo cáo thực sự tồn tại và giải quyết vấn đề một cách kịp thời. “Một tổ chức có quy mô như vậy và với lượng người dùng lớn như vậy lẽ ra phải chủ động hơn trong việc bảo vệ người dùng của họ khỏi bị tấn công. »

Bản đồ xoa dịu để tránh hỏa hoạn

Trong một tuyên bố được đưa ra vào thứ Tư tuần trước, Eric S Yuan, Giám đốc điều hành của Zoom, cho biết công ty đã “đánh giá sai tình hình và không phản ứng đủ nhanh.” Nhưng kể từ ngày 14 tháng 7, Zoom đã cung cấp các đảm bảo bổ sung nhằm cung cấp bảo mật hơn cho công cụ hội nghị web của mình. Bản cập nhật áp dụng cho các ứng dụng Thu phóng chạy trên Mac, Windows, Linux, Chrome OS, iOS (đang chờ AppStore phê duyệt) và Android cung cấp tính năng xem trước video xuất hiện trước khi người tham gia cuộc họp nơi video của họ sẽ được phát. Người tham gia có thể chọn tham gia video, chọn đăng ký không có video hoặc bỏ qua lời nhắc không tham gia cuộc họp. Ngoài ra, người tham gia cũng có thể chọn hộp để luôn xem bản xem trước video khi tham gia cuộc họp video (hộp này sẽ được chọn theo mặc định). Bản cập nhật này là một cải tiến cho bản phát hành ngày 9 tháng 7. Những người mới tham gia bây giờ cũng nhìn thấy hộp thoại xem trước video. Ngoài ra, trong những tuần tới, Zoom đã thông báo rằng họ sẽ thiết lập một chương trình tiền thưởng lỗi công khai để bổ sung cho chương trình tiền thưởng lỗi riêng tư hiện tại của mình. “Trong thời gian chờ đợi, chúng tôi khuyến khích bất kỳ ai có lo ngại về bảo mật liên hệ với support.zoom.us Quy trình báo cáo hiện tại của chúng tôi rõ ràng là không đủ trong trường hợp này. Chúng tôi đã thực hiện các bước để cải thiện quy trình tiếp nhận, báo cáo và kết thúc vòng lặp cho tất cả các mối quan tâm về an toàn trong tương lai, ”Zoom giải thích.

Bất chấp những biện pháp phòng ngừa này, có thể các lỗ hổng tương tự cũng có thể xuất hiện trong các ứng dụng hội nghị truyền hình khác, do các nhà cung cấp cố gắng hợp lý hóa quy trình tham gia cuộc họp. “Tôi chưa thử nghiệm bất kỳ nhà cung cấp nào khác, nhưng tôi sẽ không ngạc nhiên nếu họ có [des fonctionnalités similaires] Ông Lazar nói. “Các đối thủ cạnh tranh của Zoom đang cố gắng phù hợp với thời gian khởi động nhanh của họ với trải nghiệm xem video đầu tiên của họ. Hầu hết người dùng hiện được hưởng lợi từ khả năng nhanh chóng tham gia cuộc họp bằng cách nhấp vào liên kết lịch. »

BlueJeans, Cisco và Microsoft đưa ra những chiếc ô

Fellow Computerworld đã liên hệ với các nhà cung cấp phần mềm hội nghị truyền hình hàng đầu khác, bao gồm BlueJeans, Cisco và Microsoft, để tìm hiểu xem các ứng dụng máy tính để bàn của họ có yêu cầu cài đặt máy chủ web như Zoom hay không. BlueJeans cho biết ứng dụng dành cho máy tính để bàn của họ, cũng sử dụng dịch vụ launcher, không thể được kích hoạt bởi các trang web độc hại và chỉ ra trong một bài đăng trên blog ngày hôm nay rằng ứng dụng của nó có thể được gỡ cài đặt hoàn toàn, bao gồm cả việc xóa dịch vụ khởi chạy. “Nền tảng cuộc họp BlueJeans không dễ bị ảnh hưởng bởi bất kỳ vấn đề nào trong số này,” Alagu Periyannan, CTO và đồng sáng lập của công ty cho biết. Người dùng BlueJeans có thể tham gia cuộc gọi điện video thông qua trình duyệt web (“tận dụng các luồng quyền của trình duyệt gốc” để tham gia cuộc họp) hoặc sử dụng ứng dụng dành cho máy tính để bàn. Alaqu Periyannan cho biết trong một tuyên bố: “Ngay từ đầu, dịch vụ phóng của chúng tôi đã được thực hiện với ưu tiên an toàn là ưu tiên hàng đầu. “Dịch vụ trình khởi chạy đảm bảo rằng chỉ các trang web được BlueJeans ủy quyền (ví dụ: bluejeans.com) mới có thể khởi chạy ứng dụng BlueJeans dành cho máy tính để bàn trong một cuộc họp. Không giống như vấn đề được tham chiếu bởi [Leitschuh], các trang web độc hại không thể khởi chạy ứng dụng BlueJeans dành cho máy tính để bàn. Alaqu Periyannan cho biết: “Chúng tôi tiếp tục đánh giá các cải tiến đối với tương tác giữa trình duyệt và máy tính (bao gồm cả thảo luận được đề cập trong bài báo CORS-RFC1918) để đảm bảo rằng chúng tôi cung cấp giải pháp tốt nhất có thể cho người dùng.

Người phát ngôn của Cisco cũng cho biết phần mềm Webex của hãng “không cài đặt hoặc sử dụng máy chủ web cục bộ và không bị ảnh hưởng bởi lỗ hổng này.” Một đại diện của Microsoft cũng nói điều tương tự từ phía anh ấy, lưu ý rằng anh ấy cũng không cài đặt một máy chủ web như Zoom. Mặc dù bản chất của lỗ hổng Zoom đã thu hút sự chú ý, nhưng đối với các doanh nghiệp lớn, rủi ro bảo mật vượt ra ngoài lỗ hổng phần mềm, Newman nói. Ông nói: “Tôi nghĩ đó là vấn đề về SaaS và máy tính ma hơn là vấn đề về hội nghị truyền hình. “Tất nhiên, nếu thiết bị mạng không được cấu hình và bảo mật đúng cách, các lỗ hổng sẽ bị lộ ra. Trong một số trường hợp, ngay cả khi được định cấu hình đúng cách, phần mềm và phần sụn của nhà sản xuất có thể tạo ra các vấn đề dẫn đến lỗ hổng bảo mật.

Zoom đã đạt được thành công đáng kể kể từ khi thành lập vào năm 2011, với một loạt khách hàng doanh nghiệp lớn bao gồm Nasdaq, 21Century Fox và Delta. Điều này phần lớn là do sự chấp nhận truyền miệng, “lan truyền” của nhân viên, thay vì việc triển khai phần mềm từ trên xuống thường do các bộ phận CNTT áp đặt. Việc áp dụng này – dẫn đến sự phổ biến của các ứng dụng như Slack, Dropbox và các doanh nghiệp lớn khác – có thể tạo ra thách thức cho các nhóm CNTT muốn kiểm soát chặt chẽ phần mềm mà nhân viên sử dụng, Newman nói. Khi các ứng dụng không được xác thực bởi CNTT, nó sẽ dẫn đến “mức độ rủi ro cao hơn”. Ông nói: “Các ứng dụng dành cho doanh nghiệp cần kết hợp khả năng sử dụng và bảo mật và điều này đặc biệt cho thấy rằng Zoom đã tập trung nhiều hơn vào cái trước hơn là cái sau. “Đó là một phần lý do tại sao tôi vẫn lạc quan với các đội như Webex và Microsoft,” Newman nói. “Các ứng dụng này có xu hướng được đưa vào thông qua CNTT và được kiểm tra bởi các bên thích hợp. Ngoài ra, các công ty này có một nhóm kỹ sư bảo mật chuyên về bảo mật ứng dụng ”. Ngay cả trong trường hợp của Zoom, anh ta cũng không quên nâng cao lời biện hộ đáng kinh ngạc này cho thấy rằng “kỹ sư bảo mật của anh ấy đã vắng mặt ở văn phòng” và không thể trả lời trong vài ngày. “Thật khó để tưởng tượng một phản ứng tương tự lại được Microsoft hay Cisco dung thứ.”