因“在家上班”风潮而家喻户晓的视频会议平台Zoom本周又被揪出安全漏洞,而且是被不同的安全研究人员找到macOS版与Windows版的Zoom程序漏洞,相关漏洞可能允许黑客扩张权限,或是窃取Windows密码。
披露macOS版Zoom客户端程序漏洞的,是网络安全公司VMRay的恶意程序研究人员Felix Seele,以及专门研究macOS安全性的Objective-See。
研究人员发现,macOS版Zoom程序除了会擅自执行安装程序之外,也含有权限扩张漏洞,也允许黑客注入程序以访问麦克风及摄影机。
Seele指出,Zoom的安装程序采用了预先安装的脚本程序,不需用户作最后的确认,就径自将程序安装在macOS上。
当用户要加入一个Zoom会议时,会被要求下载及执行Zoom程序,通常会出现一些页面来让用户定制化及确认安装,但Zoom的安装程序却跳过这些定制化与确认的步骤,而直接执行预先安装的脚本程序,该预先安装通常是在程序尚未确认硬件兼容性时便执行了。
虽然macOS会在执行预先安装时提出警告,但跳出的消息是“该执行将确定能否安装程序”(will determine if the software can be installed),大多数的用户会按下同意,但它不只检查硬件的兼容性,还直接执行完整的安装。
此外,若是需要管理权限才能安装Zoom,跳出的消息应该是“Zoom需要你的密码才能更新既有程序”之类的,但Zoom却是使用了“系统需要你的权限进行变更”的文本叙述,完全未提及品牌名称,可能让用户误解这是操作系统的需求而非Zoom,进而输入自己的密码。
Seele表示,虽然Zoom并非恶意程序,但上述两项手法都是macOS恶意程序才会有的行为。
Objective-See则在macOS版Zoom程序中发现了第三个问题,在Zoom请求用户赋给该程序访问摄影机及麦克风的权限时,含有一个排除条款,将允许恶意程序注入该程序,也许是用来记录会议内容,或者是擅自访问设备上的摄影机与麦克风。
除了macOS的Zoom程序之外,另一个代号为@_g0dmode的安全研究人员,则发现Windows版的Zoom程序也含有安全漏洞。
该漏洞属于UNC注入漏洞,允许黑客在Zoom程序的聊天功能中,把Windows网络的UNC路径转成超连接,用户点击时,Windows会通过SMB文件分享功能来打开远程文件,同时发送用户的登录名称及NTLM散列密码,这时黑客只要通过免费工具,就能披露用户密码。