Lỗ hổng bảo mật trong ứng dụng Zoom tự kích hoạt webcam laptop

Mới đây, nhà nghiên cứu bảo mật Jonathan Leitschuh đã tiết lộ một lỗ hổng bảo mật trong ứng dụng Zoom trên máy Mac, cho phép các trang web tự động tham gia cuộc gọi video mà không cần người dùng cấp quyền.

Webcam luôn là cửa ngõ tiềm tàng để tin tặc tấn công hệ thống máy tính của bạn. Đó là lý do tại sao những người nổi tiếng như Mark Zuckerberg và cựu lãnh đạo FBI James Comey luôn dán băng dính lên webcam của họ. Lỗ hổng bảo mật được chuyên gia Jonathan Leitschuh phát hiện trên ứng dụng Zoom một lần nữa nhắc nhở người dùng nên thận trọng hơn với webcam của máy tính cá nhân.

Theo đó, ứng dụng Zoom có tính năng nhấp chuột để tham gia, người dùng chỉ cần click vào liên kết trên web, hệ thống sẽ tự động điều hướng đưa bạn trực tiếp đến cuộc họp video trong ứng dụng. Leitschuh cho rằng phương thức này không an toàn vì đã cấp quyền cho các trang web được tự động thực hiện cuộc gọi và kích hoạt video mà chưa được người dùng cho phép.

Điều này sẽ khiến bất kỳ website nào, kể cả các trang chứa nội dung độc hại cũng có thể dễ dàng kết nối hệ thống với những cuộc gọi không hợp lệ. Tệ hơn, dù bạn gỡ cài đặt ứng dụng thì máy chủ web cục bộ vẫn tồn tại trên hệ thống và có khả năng tự cài đặt lại ứng dụng mà không cần sự cho phép.

Nghiêm trọng hơn, lỗ hổng có thể làm lộ dữ liệu của hơn 750.000 công ty trên thế giới đang sử dụng ứng dụng Zoom trong công việc hàng ngày. Leitschuh đã khuyên mọi người nên vô hiệu hóa máy chủ cục bộ, đồng thời kích hoạt mục Turn off my video when join a meeting trong cài đặt ứng dụng để chặn phần mềm Zoom tự bật camera khi tham gia cuộc họp.

Nhà nghiên cứu cho biết ông đã liên lạc với Zoom từ 26/3 để thông báo về lỗ hổng bảo mật này và cho thời hạn giải quyết 90 ngày trước khi công khai. Tuy nhiên công ty này đã không thực sự cố gắng khắc phục sự cố. Ông cho rằng một tổ chức có lượng người dùng lớn như vậy lẽ ra nên chủ động thực hiện các biện pháp bảo vệ người dùng trước các mối nguy tấn công mạng.

Trong một tuyên bố, Zoom cho biết máy chủ web cục bộ được giới thiệu vào tháng 9 năm ngoái là một giải pháp thay thế trình duyệt web Safari 12 của Apple. Đây là phương thức hợp pháp để đảm bảo trải nghiệm người dùng, cho phép họ có thể tham gia cuộc họp dễ dàng chỉ với một lần nhấp chuột.

Theo Cnet