Популярна та всюдисуща (програмне забезпечення не завжди є обома цими речами!) хмарна компанія Zoom нещодавно оголосила про помилку, яка не повинна була виникнути у версії свого програмного забезпечення для Mac.
Бюлетень із безпеки, як можна вибачити, написаний у типовому стаккато та просякнутому жаргоном стилі мисливців за помилками, але зміст досить зрозумілий.
Помилка позначається CVE-2022-28762, і детально описано в Zoom Бюлетень ZB-22023:
Коли контекст візуалізації в режимі камери ввімкнено як частину API шарів програми Zoom під час запуску певних програм Zoom, клієнт Zoom відкриває локальний порт налагодження.
Куди б ви хотіли поїхати сьогодні?
«Порт налагодження» зазвичай відноситься до мережевого з’єднання, яке прослуховує, зазвичай сокет TCP, який обробляє запити на налагодження.
Подібно до того, як сервер електронної пошти зазвичай слухає TCP-порт 25, очікуючи, поки віддалені клієнти електронної пошти «зателефонують» через мережу та запитають дозвіл на доставку вхідних повідомлень, порти налагодження слухають порт за власним вибором (часто настроюваний, хоча іноді лише в недокументований спосіб) для вхідних з’єднань, які хочуть видавати команди налагодження.
Проте на відміну від сервера електронної пошти, який приймає запити, пов’язані з доставкою повідомлень (наприклад, MAIL FROM та RCPT TO), підключення для налагодження зазвичай забезпечують набагато більш інтимну взаємодію з програмою, до якої ви підключаєтеся.
Дійсно, порти налагодження зазвичай дозволяють вам не тільки дізнаватися про конфігурацію та внутрішній стан самої програми, але й видавати команди безпосередньо програмі, включаючи команди, що підривають безпеку, недоступні для звичайних користувачів. через звичайний інтерфейс користувача.
Сервер електронної пошти, наприклад, зазвичай дозволяє надсилати повідомлення на його порт TCP для вибраного вами імені користувача, але він не дозволяє надсилати команди, які переналаштовують сам сервер, і не дозволяє видобувати секретну інформацію наприклад статистику сервера або повідомлення інших людей.
Навпаки, це саме ті «функції», які зазвичай дозволяють порти налагодження, щоб розробники могли налаштовувати та контролювати поведінку своєї програми, намагаючись вирішити проблеми, без необхідності проходити через звичайний інтерфейс користувача.
(Ви бачите, як такий «побічний канал» усередині програми буде особливо корисним, коли ви намагаєтеся налагодити сам інтерфейс користувача, враховуючи, що використання інтерфейсу користувача для налагодження інтерфейсу користувача майже напевно завадить з тими самими вимірюваннями, які ви намагалися зробити.)
Примітно, що порти налагодження зазвичай дають змогу отримати щось на кшталт «внутрішнього перегляду» самої програми, наприклад: зазирнути в області пам’яті, які зазвичай ніколи не відкриваються користувачам програми; захоплення знімків даних, які можуть містити конфіденційні дані, такі як паролі та маркери доступу; і активація запису аудіо чи відео без попередження користувача…
…все без входу в програму чи службу.
Іншими словами, порти налагодження є необхідним злом для використання під час розробки та тестування, але вони не повинні бути активовані або, в ідеалі, навіть активовані під час регулярного використання програми через очевидні діри в безпеці, які вони створюють.
Пароль не потрібен
Грубо кажучи, якщо у вас є доступ до TCP-порту, який прослуховує налагоджувач, і ви можете створити до нього TCP-з’єднання, це вся аутентифікація, яка вам потрібна для керування програмою.
І тому порти налагодження зазвичай вмикаються лише за ретельно контрольованих обставин, коли ви знаєте, що справді хочете дозволити розробнику блукати прямо всередині програми, насолоджуючись фактично нерегульованим і потенційно небезпечним надпотужним доступом.
Дійсно, багато програмних продуктів навмисно створено у двох різних варіантах: збірка для налагодження, де налагодження можна ввімкнути за бажанням, і збірка випуску, у якій функції налагодження взагалі опущені, тому їх не можна активувати взагалі, будь то за допомогою випадково або задумом.
Телефони Android від Google включають режим налагодження, у якому ви можете підключити USB-кабель і копатися в телефоні (хоча й не з повними повноваженнями root) зі свого ноутбука через так званий ADB, скорочення від Android Debug Bridge. Щоб взагалі ввімкнути налагодження, спочатку потрібно натиснути Налаштування > Про телефон > Номер будівлі сім разів (справді!) поспіль. Лише тоді опція ввімкнення налагодження з’являється в меню, де її можна активувати Налаштування > SYSTEM > Advanced > Опції для розробників > USB налагодження. Потім, коли ви підключитесь і спробуєте з’єднатися зі свого ноутбука, вам доведеться авторизувати з’єднання за допомогою спливаючого вікна з попередженням на самому телефоні. Ви, звичайно, можете зробити це навмисно, якщо у вас є фізичний доступ до розблокованого телефону, але це навряд чи станеться помилково.
Для додаткової безпеки порти налагодження часто налаштовані таким чином, щоб вони не приймали з’єднання, що надходять з інших комп’ютерів (з технічної точки зору, вони слухають лише інтерфейс “localhost”).
Це означає, що зловмиснику, який намагається зловживати неправильно ввімкненим інтерфейсом налагодження, спершу знадобиться опора на вашому комп’ютері, наприклад, якась проксі-шкідлива програма, яка сама приймає з’єднання через Інтернет, а потім передає свої мережеві пакети на мережевий інтерфейс «localhost».
Незважаючи на потребу в певному локальному доступі у випадку CVE-2022-28762, Zoom дав цій помилці «оцінку серйозності» CVSS 7.3/10 (73%) і рейтинг терміновості Високий.
Локальні мережеві TCP-з’єднання зазвичай створені для роботи між користувачами та процесами, тому зловмиснику не потрібно буде входити в систему як ви (або як адміністратор), щоб зловживати цією помилкою – будь-який процес, навіть програма, що працює під дуже обмеженим доступом гостьовий обліковий запис, може стежити за вами за бажанням.
Більше того, оскільки команди програмного забезпечення, що надходять через порт налагодження, зазвичай працюють незалежно від звичайного інтерфейсу користувача програми, ви, ймовірно, не побачите жодних ознак того, що ваш сеанс Zoom був викрадений таким чином.
Якби зловмисник активував програму за допомогою більш звичайних каналів віддаленого керування Mac, таких як Screen Sharing (VNC), ви принаймні мали б шанс помітити зловмисника, який рухає вказівником миші, натискає кнопки меню або вводить текст…
…але через інтерфейс налагодження, який, по суті, є навмисним чорним входом, ви можете бути абсолютно не підозрюючи (і, можливо, навіть не в змозі виявити), що зловмисник стежив за вами особисто, використовуючи вашу веб-камеру та мікрофон.
Що ж робити?
На щастя, власна команда безпеки Zoom помітила те, що, як ми припускаємо, було помилкою під час збирання (функція, залишена ввімкненою, яку слід було придушити), і негайно оновила програмне забезпечення Mac із помилками.
Оновіть свій клієнт macOS Zoom до версії 5.12.0 або пізнішої і порт налагодження залишатиметься закритим, коли ви використовуєте Zoom.
На Mac перейдіть до головного zoom.us меню та вибрати Check for Updates... щоб перевірити, чи встановлена у вас остання версія.
- blockchain
- coingenius
- крипто-валютні кошельки
- криптообмін
- CVE-2022-28762
- кібер-безпеки
- кіберзлочинці
- Кібербезпека
- управління внутрішньої безпеки
- цифрові гаманці
- брандмауер
- Kaspersky
- шкідливих програм
- Макафі
- Гола безпека
- NexBLOC
- plato
- платон ai
- Інформація про дані Платона
- Гра Платон
- PlatoData
- platogaming
- відстеження
- шпигунських програм
- Без категорії
- VPN
- вразливість
- безпеки веб-сайтів
- зефірнет
- зум
![S3 Ep120: Коли погана криптовалюта просто не відпускає [Аудіо + текст]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep120-when-dud-crypto-simply-wont-let-go-audio-text-300x157.png "S3 Ep120: Коли погана криптовалюта просто не відпускає [Аудіо + текст]")
