Zoom, en populär tjänst för videomöten, kan kapas och tas över av obehöriga då tre nya, allvarliga buggar har hittats i programmet. Den ena buggen kan användas för att stjäla lösenord ir Windows-datorer, de två andra kan exploateras för att ta över kameran och mikrofonen i en Mac-dator.
Zoom har en urusel historik när det kommer till säkerhet och det har handlat om allt från oriktiga, falska påståenden om att tjänsten skyddas med ”end-to-end” kryptering till installationsscript som startas utan användarens medgivande.
Lita inte på Zoom – kasta ut appen och programmet
Synnerligen
Nu har tre, synnerligen allvarliga säkerhetsbuggar hittats i Zoom, en av buggarna i Windows-versionen och två av byggarna berör Mac-versionen. De båda buggarna kräver dessbättre lokal access men likafullt – obehöriga kan ta över en sårbar Mac-dator.
Stop me if you’ve heard me talk (rant) about this before, but Apple clearly notes that the
AuthorizationExecuteWithPrivilegesAPI is deprecated and should not be used. Why? Because the API does not validate the binary that will be executed (as root!) …meaning a local unprivileged attacker or piece of malware may be able to surreptitiously tamper or replace that item in order to escalate their privileges to root (as well)
Buggen handlar om att Zoom följer inte Apples rekommendationer utan gör det möjligt att öka en obehörig användaress access. Det är inte en bugg, ett överseende utan det är ett medvetet brott mot rekommendationer.
Bugg nummer två för det möjligt att injicera skadlig kod för att exempelvis spela in kameran eller mikrofonen, eller båda.
Den tredje buggen för det möjligt att stjäla lösenord i en Windows-dator.
Kasta ut
Mitt råd står fast – kasta ut Zoom.
0 kommentarer