«Никогда не устанавливайте Zoom на основной компьютер»: известный разработчик предупредил о рисках приложения
Разработчик Феликс Краузе (создатель утилиты fastlane и бывший сотрудник Google и Twitter) предупредил об опасности использования приложения Zoom. По его словам, в программе существует цепочка уязвимостей, которая позволяет злоумышленнику скомпрометировать другого пользователя через чат Zoom. Подробности — далее.
В отчете, который опубликовали на сайте bugs.chromium, описывается цепочка уязвимостей, позволяющая злоумышленнику скомпрометировать другого пользователя через чат Zoom. Главная проблема в том, что для успешной атаки не требуется взаимодействия с пользователем. Злоумышленнику достаточно отправлять жертве сообщения через чат Zoom по протоколу XMPP.
Сообщается, что первоначальная уязвимость (обозначенная как XMPP Stanza Smuggling), использует несоответствия между парсерами XML на клиенте и сервере Zoom, чтобы иметь возможность незаметно передавать произвольные строфы XMPP на клиент жертвы. Оттуда, отправив специально созданную управляющую строфу, злоумышленник может заставить клиента-жертву подключиться к вредоносному серверу, тем самым превратив этот простой прием в так называемую атаку посредника.
В итоге, перехватывая/модифицируя запросы/ответы на обновления клиента, клиент-жертва загружает и выполняет вредоносное обновление, что приводит к выполнению произвольного кода. Эта downgrade-атака используется для обхода проверки подписи в программе установки обновлений. Данная атака была продемонстрирована на последней версии (5.9.3) клиента, работающего на 64-битной ОС Windows, однако некоторые или все части цепочки, вероятно, применимы и к другим платформам.
Подробнее о принципе работы атаки можно почитать здесь.
По словам Феликса Краузе, Zoom в принципе нельзя доверять. Потому специалист советует никогда не устанавливать его на свой основной компьютер и использовать только приложение Zoom для iOS, так как на этой ОС реализован правильный sandboxing (среда для безопасного исполнения программы).
Visual Code от Microsoft, вероятно, один из самых популярных редакторов кода. Разработчики любят его за…
Япония сама по себе — сплошной киберпанк. Это заметил даже культовый писатель жанра Уильям Гибсон,…
Сам по себе телефон Айфон 17 Про Макс – отличный подарок. У него красивая заводская…
На фоне роста спроса на ликвидность в бычьем рынке 2025 года, криптозаймы снова выходят на…
Прокси (proxy), или прокси-сервер — это программа-посредник, которая обеспечивает соединение между пользователем и интернет-ресурсом. Принцип…
Согласитесь, было бы неплохо соединить в одно сайт и приложение для смартфона. Если вы еще…