Zoom для Mac исправляет коварную ошибку «шпионажа за мной» — обновите сейчас!

Популярная и вездесущая (программное обеспечение не всегда является и тем, и другим!) Компания Zoom, занимающаяся облачными встречами, недавно объявила об ошибке, которая не должна была случиться в версии ее программного обеспечения для Mac.

Бюллетень безопасности, простительно, написан в типичном стаккато и пропитанном жаргоном стиле охотников за ошибками, но смысл довольно ясен.

Ошибка обозначена CVE-2022-28762, и подробно описано в Бюллетень Zoom ZB-22023:

Когда контекст рендеринга в режиме камеры включается как часть API слоев приложений Zoom путем запуска определенных приложений Zoom, клиент Zoom открывает локальный порт отладки.

Куда бы вы хотели поехать сегодня?

«Порт отладки» обычно относится к прослушивающему сетевому соединению, обычно TCP-сокету, который обрабатывает запросы отладки.

Точно так же, как сервер электронной почты обычно прослушивает TCP-порт 25, ожидая, пока удаленные почтовые клиенты «позвонят» по сети и запросят разрешение на доставку входящих сообщений, порты отладки прослушивают порт по своему выбору (часто настраиваемый, хотя иногда только недокументированным способом) для входящих соединений, которые хотят выдавать команды отладки.

Однако, в отличие от сервера электронной почты, который принимает запросы, относящиеся к доставке сообщений (например, MAIL FROM и RCPT TO), отладка соединений обычно обеспечивает гораздо более тесное взаимодействие с приложением, к которому вы подключаетесь.

Действительно, порты отладки обычно позволяют вам не только узнать о конфигурации и внутреннем состоянии самого приложения, но и отдавать команды непосредственно приложению, включая команды, снижающие безопасность, которые недоступны обычным пользователям, переходящим через обычный пользовательский интерфейс.

Сервер электронной почты, например, обычно позволяет отправить сообщение на свой TCP-порт для имени пользователя по вашему выбору, но не позволяет отправлять команды, которые перенастраивают сам сервер, и не позволяет извлекать секретную информацию. такие как статистика сервера или сообщения других людей.

Напротив, это именно те «функции», которые обычно позволяют порты отладки, чтобы разработчики могли настраивать и отслеживать поведение своего приложения, пока они пытаются исправить проблемы, без необходимости проходить через обычный пользовательский интерфейс.

(Вы можете видеть, как этот вид «побочного канала» в внутренности приложения будет особенно удобен, когда вы пытаетесь отладить сам пользовательский интерфейс, учитывая, что акт использования пользовательского интерфейса для отладки пользовательского интерфейса почти наверняка будет мешать. с теми самыми измерениями, которые вы пытались сделать.)

Примечательно, что порты отладки обычно позволяют вам получить своего рода «внутренний вид» самого приложения, например: заглянуть в области памяти, которые обычно никогда не открываются пользователям приложения; захват моментальных снимков данных, которые могут содержать конфиденциальные данные, такие как пароли и токены доступа; и запуск захвата аудио или видео без предупреждения пользователя…

…и все это без входа в приложение или сервис.

Другими словами, порты отладки являются необходимым злом для использования во время разработки и тестирования, но они не должны быть активированы или, в идеале, даже должны быть активированы во время обычного использования приложения из-за очевидных дыр в безопасности, которые они создают.

Пароль не нужен

Грубо говоря, если у вас есть доступ к TCP-порту, который прослушивает отладчик, и вы можете создать TCP-соединение с ним, это все, что вам нужно для проверки подлинности, чтобы перехватить управление приложением.

И именно поэтому отладочные порты обычно включаются только при тщательно контролируемых обстоятельствах, когда вы знаете, что действительно хотите позволить разработчику иметь возможность бродить прямо внутри приложения, наслаждаясь фактически нерегулируемым и потенциально опасным доступом к суперспособностям.

Действительно, многие программные продукты намеренно создаются в двух разных вариантах: сборка отладки, в которой отладка может быть включена при желании, и сборка выпуска, в которой функции отладки полностью исключены, поэтому их вообще нельзя активировать, будь то случайно или по замыслу.

Телефоны Android от Google включают режим отладки, в котором вы можете подключить USB-кабель и копаться в телефоне (хотя и не с полными полномочиями root) со своего ноутбука через так называемый ADB, сокращенно Мост отладки Android. Чтобы вообще включить отладку, сначала нужно нажать на Настройки > О телефонов > Номер сборки семь раз (правда!) подряд. Только тогда опция включения отладки даже появляется в меню, где вы можете активировать ее в Настройки > Система > Фильтр > Опции для разработчиков > USB отладки. Затем, когда вы подключаетесь и пытаетесь подключиться со своего ноутбука, вам необходимо авторизовать соединение с помощью всплывающего окна с предупреждением на самом телефоне. Вы, конечно, можете сделать это специально, если у вас есть физический доступ к разблокированному телефону, но вряд ли это произойдет по ошибке.

Для дополнительной безопасности порты отладки часто настраиваются так, чтобы они не принимали соединения, поступающие с других компьютеров (с технической точки зрения, они прослушивают только интерфейс «localhost»).

Это означает, что злоумышленнику, пытающемуся злоупотребить неправильно включенным интерфейсом отладки, сначала потребуется закрепиться на вашем компьютере, например, какой-либо прокси-вредоносной программе, которая сама принимает подключения через Интернет, а затем ретранслирует свои сетевые пакеты на сетевой интерфейс «localhost».

Однако, несмотря на необходимость какого-либо локального доступа в случае CVE-2022-28762, Zoom присвоил этой ошибке «оценку серьезности» CVSS 7.3/10 (73%) и рейтинг срочности . High.

Локальные сетевые соединения TCP обычно предназначены для работы вне границ пользователя и процесса, поэтому злоумышленнику не нужно будет входить в систему под вашим именем (или администратором), чтобы злоупотреблять этой ошибкой — любой процесс, даже программа, работающая под очень ограниченным гостевая учетная запись, может шпионить за вами по желанию.

Кроме того, поскольку программные команды, выдаваемые через порт отладки, обычно работают независимо от обычного пользовательского интерфейса приложения, вы, вероятно, не увидите никаких явных признаков того, что ваш сеанс Zoom был взломан таким образом.

Если бы злоумышленник активировал приложение через более традиционные каналы удаленного управления Mac, такие как общий доступ к экрану (VNC), у вас, по крайней мере, был бы шанс обнаружить злоумышленника, перемещающего указатель мыши, нажимающего кнопки меню или вводящего текст…

… но с помощью интерфейса отладки, который по сути представляет собой преднамеренный черный ход, вы можете быть в блаженном неведении (и, возможно, даже не в состоянии обнаружить), что злоумышленник шпионил за вами очень лично, используя вашу веб-камеру и ваш микрофон.

Что делать?

К счастью, собственная команда безопасности Zoom заметила то, что мы предполагаем, было ошибкой во время сборки (функция, оставленная включенной, которую следовало подавить), и быстро обновила программное обеспечение Mac с ошибками.

Обновите свой клиент Zoom для macOS, чтобы версия 5.12.0 или позже и порт отладки останется закрытым, когда вы используете Zoom.

На Mac перейдите на главную zoom.us меню и выберите Check for Updates... чтобы узнать, установлена ​​ли у вас последняя версия.

---