今年4月風光上市的視訊會議軟體Zoom被爆出在Mac上有資安漏洞。Zoom軟體可以在不須經過使用者同意下,自動開啟鏡頭,即便用戶解除安裝仍然有風險疑慮。
資安專家強納森萊特舒(Jonathan Leitschuh)發現,該漏洞透過Zoom的分享會議連結功能,將惡意連結寄給用戶,用戶只要開啟一次,就會不斷被加入無效的會議裡,這樣的攻擊方式稱為DOS (Denial of Service)。即便用戶曾經解除Zoom客戶端的安裝,但地方網路伺服器localhost仍會幫用戶的電腦重新裝回Zoom客戶端,並且不會事先告知用戶,代表即便解除安裝也不等於完全沒有資安疑慮。
這個漏洞原本是在2019年3月26日被發現,原本是向用戶寄出「快速修復」的要求,Zoom就能簡單地改變伺服器Logic,雖然已經被發現並且向Zoom通報,但漏洞至今仍未被修復,代表用戶仍然有可能收到惡意連結,資安專家建議Mac使用者,可以在Zoom的設定中,禁止「加入會議時自動啟動鏡頭」的選項,保護自己個資不被攻擊。
