जूम टेलीकांफ्रेंसिंग ऐप वाले किसी भी मैक की अभी जासूसी की जा सकती है। हाँ, यह Apple सुरक्षा के लिए एक बुरा दिन है, क्योंकि दुर्भावनापूर्ण वेबसाइटों को आपके मैक पर दूर से एक वीडियो कॉन्फ्रेंस कॉल शुरू करने के लिए कोडित किया जा सकता है - और हमले को ईमेल पर भी भेजा जा सकता है।
सुरक्षा शोधकर्ता जोनाथन लीट्सचुह द्वारा प्रकट की गई इस खबर से पता चलता है कि यहां तक कि मैक जिनके पास अब जूम स्थापित नहीं है - लेकिन एक बार किया - कमजोर हैं। हालाँकि, अच्छी खबर यह है कि समाधान हैं (हालांकि, एक गंभीर रूप से कठिन है), और ज़ूम जल्द ही इसे ठीक कर रहा है।
अब क्या करें
फिक्स, जूम के अपने रुख को बदलने के लिए धन्यवाद, जूम अपडेट को स्वीकार करने के लिए उतना ही सरल प्रतीत होता है जितना वे आते हैं। ज़ूम के बड़े ब्लॉग पोस्ट में दोष के बारे में अपडेट में, कंपनी ने कहा कि आज रात (9 जुलाई) को 3 बजे या उससे पहले आने वाला एक पैच ईएसटी / आधी रात पीएसटी चीजों को हल करेगा। उपयोगकर्ताओं को ऐप को अपडेट करने के लिए प्रेरित किया जाएगा और अपडेट समाप्त होने के बाद, "उस डिवाइस पर स्थानीय वेब सर्वर पूरी तरह से हटा दिया जाएगा।"
अपडेट से अनइंस्टॉल प्रक्रिया में भी सुधार होगा। जूम की पोस्ट में कहा गया है, "हम जूम मेन्यू बार में एक नया विकल्प जोड़ रहे हैं जो उपयोगकर्ताओं को स्थानीय वेब सर्वर सहित जूम क्लाइंट को मैन्युअल रूप से और पूरी तरह से अनइंस्टॉल करने की अनुमति देगा।"
हम यह देखने के लिए उत्सुक हैं कि क्या जोनाथन लीट्सचुह और अन्य सुरक्षा शोधकर्ताओं को लगता है कि ज़ूम पूरी तरह से और उचित काम कर रहा है।
अपने मैक की सुरक्षा के लिए, ज़ूम के लिए सेटिंग्स खोलें - मेनू बार में ज़ूम पर क्लिक करें, फिर सेटिंग्स पर क्लिक करें - और वीडियो अनुभाग खोलें। फिर "मीटिंग में शामिल होने पर मेरा वीडियो बंद करें" के बगल में स्थित बॉक्स को चेक करें।
अपने पोस्ट में, Leitschuh ने टर्मिनल में उपयोग के लिए कोड भी साझा किया। वे निर्देश थोड़े जटिल हो जाते हैं और सुपर-टेक प्रेमी उपयोगकर्ताओं के लिए सर्वोत्तम होते हैं जो इसे पसंद करेंगे। उन युक्तियों को वेब सर्वर को मिटाने के लिए बनाया गया है जो ज़ूम मैक पर बनाता है।
यह काम किस प्रकार करता है
हां, यह सब संभव है क्योंकि ज़ूम गुप्त रूप से मैक पर एक वेब सर्वर स्थापित करता है, जो प्राप्त करता है - और स्वीकार करता है - अनुरोध करता है कि आपके वेब ब्राउज़र नहीं करेंगे। लीत्सचुह ने बताया कि उन्होंने जूम के साथ काम करने की कोशिश की, पिछले मार्च में कंपनी तक पहुंचे, लेकिन इसके "समाधान अपने उपयोगकर्ताओं को पूरी तरह से सुरक्षित रखने के लिए पर्याप्त नहीं थे।"
साथ ही, जैसा कि मैंने पहले उल्लेख किया है, यहां तक कि वे उपयोगकर्ता जिन्होंने अपने मैक से ज़ूम को अनइंस्टॉल किया है, वे भी असुरक्षित हैं। लीट्सचुह बताते हैं कि ज़ूम द्वारा स्थापित वेब सर्वर प्रोग्राम को हटाने के बाद भी पीछे रहता है, और सर्वर को ज़ूम के नवीनतम संस्करण को अपडेट करने और स्वचालित रूप से स्थापित करने के लिए दूरस्थ रूप से ट्रिगर किया जा सकता है।
ओह, और एक पीड़ित को वेब पेज खोलने के लिए धोखा देने की भी जरूरत नहीं है। सबसे पहले, वीमियो उपयोगकर्ता 'फन जॉन' ने वीडियो सबूत पोस्ट किए कि आप ईमेल के माध्यम से इस दोष पर हमला कर सकते हैं, और लक्ष्य को संदेश खोलने की भी आवश्यकता नहीं है। उन्हें बस एक ईमेल क्लाइंट ऐप का उपयोग करने की आवश्यकता है जो दुर्भावनापूर्ण रूप से कोडित संदेश डाउनलोड करता है।
लीट्सचुह ने जूम के साथ तर्क करने के बाद, कंपनी को यह बताने का आरोप लगाया कि "एक मेजबान को यह चुनने की अनुमति देना कि कोई प्रतिभागी स्वचालित रूप से वीडियो के साथ शामिल होगा या नहीं" एक "स्टैंडअलोन सुरक्षा भेद्यता" है, कंपनी असहमत है, अपने निर्णय को उपयोगकर्ता-समर्थक के रूप में पेश करती है: "ज़ूम हमारे ग्राहकों को यह चुनने की शक्ति देने में विश्वास करता है कि वे कैसे ज़ूम करना चाहते हैं।"
इसे अपने लिए देखना चाहते हैं?
यदि आपने कभी अपनी मशीन पर ज़ूम किया है, तो आप इसे स्वयं देख सकते हैं।
"zoom_vulnerability_poc/" वाक्यांश के लिए Leitschuh के ब्लॉग पोस्ट को खोजें - क्योंकि यह उनकी अवधारणा के प्रमाण का लिंक है, जो एक ज़ूम कॉल लॉन्च करता है। पहला केवल-ऑडियो संस्करण है; दूसरा लिंक, जिसमें URL में 'iframe' शामिल है, सक्रिय वीडियो के साथ कॉल शुरू करता है।
यह ज़ूम भेद्यता केले है। मैंने अवधारणा लिंक के सबूत में से एक की कोशिश की और वास्तविक समय में इसके बारे में चिंतित तीन अन्य रैंडो से जुड़ा। https://t.co/w7JKHk8nZypic.twitter.com/arOE6DbQaf - मैट हौघे (@mathowie) जुलाई 9,2021-2022
यह आलेख मूल रूप से टॉम की मार्गदर्शिका पर प्रकाशित हुआ था।
- macOS कैटालिना बीटा रिव्यू
- मैंने iPadOS के साथ एक माउस का उपयोग किया और यहां बताया गया है कि यह कैसे काम करता है
- iPadOS बीटा समीक्षा