Zoom最“蠢”漏洞曝光：竊取攝像頭畫面從未如此容易_風聞

來源：微信公眾號“硅星人”

作者：光譜 杜晨

再次證明：隱私和便利是不可兼得的。

Zoom，一家剛剛在納斯達克上市的視頻會議技術公司，正在遭遇新一輪安全風波。

點一下鏈接，瞬間打開 app 進入視頻會議。有了 Zoom，遠程開會就是這麼簡單。

——太簡單了，以至於一個最新發現的 Zoom Mac 客户端漏洞有可能成為後門。黑客不但可以強制你加入視頻會議，獲取你的網絡攝像頭畫面，甚至還能對你的 Mac 電腦進行 DoS（拒絕服務）攻擊。

美國時間7月8日，Medium 賬號 InfoSec Write-ups 發佈了 Zoom 的最新 0day 漏洞報告[1]。

Zoom 一個備受歡迎的特性就是“一鍵進入會議”。該產品的用户都知道，在任何的場景下，比如在網頁、Slack 裏，點擊類似下面的鏈接，就可以立刻彈出 Mac 客户端——沒有對話框，不需要選擇或任何額外的點擊，就能直接加入視頻會議。

https://zoom.us/j/123456789

最初在今年3月，有人爆出這一設置存在嚴重的安全隱患，要求 Zoom 認可該情況、提出解決方案並儘快打上補丁——然而當時正值 Zoom 上市的籌備期，該公司未能及時處理問題。

安全研究員 Jonathan Leitschuh 發現，Zoom 會在安裝了 Mac 客户端的電腦上保持運行一個 web server（一個軟件層級的服務器），開啓19421端口並通過該端口保持服務。簡單來説，Zoom 通過19421端口運行着一個 API（應用接口）。

讓 Leitschuh 感到可疑的是，在 Zoom 的使用説明書以及其它任何文檔中，**都沒有提到過這個端口以及相關的 API；**不僅如此，這個接口是完全暴露在互聯網上的，任何其它網站/人都可以訪問這台電腦的 IP 地址和這個端口。

Leitschuh 在查看 Zoom 網站時發現了這段代碼，引起了他的注意。Image Credit: Jonathan Leitschuh/Infosec Write-ups

當 Mac 用户在網頁上點擊一個 Zoom 視頻會議的加入鏈接時，該網頁並不會發佈一個常見的 AJAX 請求，而是直接加載了前述網絡服務器裏保存的一張極其微小的空白圖片。

Leitschuh 進一步發現，這個網絡服務器的功能遠不止純粹的“打開客户端”和“加入會議”：那張空白圖片的像素點，分別包含了下載、安裝客户端、檢查版本等操作的鏈接。

（這種做法，像極了郵件營銷領域常用的追蹤像素）

每一個功能/提示都在圖片上對應了一個像素點

研究員開始了自己的嘗試，不久後就發現：只要加入激活該網絡服務器的代碼，任何網站都可以在用户訪問時強制用户的 Zoom 客户端激活，並加入會議，完全不需要用户授權。

比如，你可以在網頁上用插入圖片或視頻 (iframe) 的方式來承載激活會議的代碼：

<img src=“http://localhost:19421/launch?action=join&confno=492468757”/><iframe src=“https://zoom.us/j/492468757"/>

更為誇張的是：1）會議的發起者（假定為黑客）可以設置參與者默認以視頻的方式加入會議；2）前述的本地網絡服務器是後台運行的，即便代碼執行時用户沒有打開 Zoom 客户端，也可以激活。

也就是説，黑客可以強制打開受害者的攝像頭並查看其畫面。受害者可能會突如其來的視頻會議嚇一跳；如果當時沒有在看屏幕的話，有可能完全不知情就暴露了自己的隱私。

Leitschuh 製作了一個簡單的概念證明。如果你安裝過，或曾經安裝但已經卸載了 Zoom 客户端，在 Mac 電腦上打開下面的兩個鏈接（看起來只是正常的網頁），就會突然被加入到一個電話/視頻會議裏：

https://jlleitschuh.org/zoom_vulnerability_poc/https://jlleitschuh.org/zoom_vulnerability_poc/zoompwn_iframe.html

為什麼 Zoom 要這樣做？原來，它是為了繞過 Chrome、Safari等瀏覽器為了安全而屏蔽掉的一種靜默訪問方式。Chrome 在2010年就拒絕了一個名為 CORS 的訪問方式，而 Safari 在版本12當中要求用户必須點擊同意才能授權瀏覽器啓動視頻會議。

如果嚴格按照瀏覽器廠家的規矩辦，Zoom 一鍵進入會議的核心賣點就無法實現，使用體驗可能會“降低”。

這個漏洞不需要你的電腦上已經安裝 Zoom 客户端——即便你曾經使用過，但後來卸載了客户端，前述通過19421端口運行的網絡服務器仍然存在，並且在後台持續運行。

這個網絡服務器能自動下載客户端並執行安裝操作。（受制於電腦上的安裝策略，大部分人需要同意才能完成。）

前面還提到，這個漏洞有可能會成為拒絕服務 (DoS) 攻擊的載體。因為，這一漏洞允許黑客向受害者持續大量發送加入會議的邀請。

Zoom 倒是沒有認為這個問題很嚴重。

Zoom 在其網站聲明中表示，“我們認為這是解決不良用户體驗問題的合理解決方案，使我們的用户能夠更快地進行一鍵加入會議。我們並不是唯一使用這種解決方案的視頻會議提供商。”

聲明還提到，該公司將在7月9日週二午夜之前發佈更新，移除承載這一漏洞的網絡服務器。

目前，Zoom 的個人用户數量超過4000萬，其中大約400萬為 Mac 使用者。

[1] Zoom Zero Day: 4+ Million Webcams & maybe an RCE? Just get them to visit your website! https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5