近年来，数量不断攀升的网络安全漏洞给个人的信息安全带来了巨大挑战。今天，云视频会议服务提供商Zoom被爆存在一个严重的“零日漏洞”，该漏洞使任何网站都可以在未经用户允许的情况下“劫持”Mac用户的网络摄像头，即便卸载也难以彻底摆脱，非常“难缠”。据悉，该漏洞或将威胁使用Zoom的400万Mac用户的隐私与信息安全。

Zoom安全漏洞或波及400万Mac用户

近日，一位名叫Jonathan Leitschuh的安全研究院员公开披露了Mac电脑上的视频会议软件程序Zoom存在的一个严重的“零日漏洞”，“零日漏洞”的存在使得任何网站（包括恶意网站在内）能在未经用户允许的情况下强行将用户连接到Zoom呼叫，并启用Mac的摄像头。此外，该漏洞可以通过反复让用户加入无效呼叫，允许任何网页进入DOSMac。

Leitschuh分析称，这个漏洞出现的部分原因可能是Zoom应用程序在Mac上安装了一个Web服务器，从而接受了普通浏览器不会“越界”的请求。用户访问的任何一个网站都可以和在他的Mac上运行的Web服务器进行交互，这对用户的隐私和信息安全十分不利。

既然如此“坑”，那我卸载不用了总行吧？不好意思，你把问题想的太简单了，一键卸载根本无法从根上解决这个问题。也许Zoom早就猜测到你会这样做，于是早早“埋”了更深的“雷”。即便用户将Zoom从Mac上卸载，Mac上仍然存在一个本地Web服务器，它可以在未经用户允许的情况下，重新安装Zoom客户端，普通用户根本无法直接关闭这个Web服务器，而是需要额外运行几行终端命令。对此Zoom解释称，localhost服务器存在的唯一原因是Apple的Safari不支持URI处理程序。

据悉，截至2015年，Zoom在全球已经拥有超4000万用户，其中，Mac占PC市场的10％，粗略估计，目前至少有400万的Zoom用户使用的是Mac。最近几年来，Zoom已经逐渐成长为全球领先的云视频会议服务提供商，Zoom也逐渐成为现代职场人办公的必备工具。现在，Zoom存在这个漏洞有可能会给400万Mac用户带来严重的信息安全威胁。

Zoom称，Apple的Safari不支持URI处理程序，所以公司开发了本地网络服务器（localhostWeb），以方便使用Mac的Zoom用户。日前，Zoom在一份声明中回应媒体，“运行本地服务器是解决用户体验不佳的合法解决方案，使我们的用户能够进行无缝的一键加入会议，这是我们的产品主要的差异化特征。”

漏洞早在3个月前就已经被发现

其实，早在3个月前，Jonathan Leitschuh就发现了这个漏洞。他发现，Zoom存在视频通话漏洞，用户可以利用这个漏洞在未经许可的情形下向某人发起呼叫。未来如果找到类似的漏洞，它将允许任何网站在用户的计算机上实现RCE，这对于使用Zoom 4.1或更低版本的用户来说存在重大安全隐患。

在查看Web开发人员控制台的记录时，Leitschuh意外发现，这个Web服务器竟还会返回以图像文件的尺寸编码的数据。Leitschuh猜测，这很可能是Zoom出于安全原因故意这样做的，目的是为了绕过跨资源共享（CORS）保护，浏览器明确忽略了在localhost上运行的服务器的任何CORS策略。

这个漏洞利用了Zoom的一个非常简单的功能：用户可以向任何人发送Zoom会议链接（例如https://zoom.us/j/xxxx），只要对方在浏览器中打开该链接，他们的Zoom客户端就会在本地计算机上自动打开并运行。

此外，Leitschuh表示，用户可以选择在加入呼叫时启用会议参与者的摄像头。Zoom的本地Web服务器是作为后台进程运行的，用户甚至不需要直接“运行”Zoom应用程序。如果想要激活摄像头，只需要在网站中使用iframe嵌入Zoom会议链接，此后任何Zoom用户都可以立即与他们的视频进行连接。这是一个潜在的安全漏洞，如果被人嵌入到恶意广告中，或者利用其进行网络钓鱼活动，后果将不堪设想。

考虑到为使用Zoom的广大用户负责，发现漏洞后不久，Jonathan Leitschuh便联系了Zoom方面，同时给了对方为期90天的公开披露期限。

这期间，Leitschuh曾数次与Zoom沟通漏洞解决方案，不过，Zoom似乎不太积极，并多次辩称这个漏洞的严重性有限，因为它需要“用户交互”才能利用这些漏洞。直到90天公开披露期限结束前的第18天，关于如何修补漏洞的讨论会议才第一次召开，这次会议确认了漏洞的详细信息，并讨论了Zoom计划的解决方案。

在剩下的短短18天里，Zoom通过快速修复方案，禁用了网页自动打开网络摄像头的功能，终于赶在90天公开披露截止日期到来时修复了漏洞。但这次修复其实并不彻底，7月7日，这部分修复又“回退”了，以前的漏洞再次出现，在未经用户允许的情况下，网络摄像头仍然能够被打开。

Leitschuh批评Zoom的解决方案太“敷衍”，他认为官方所做的只是阻止攻击者打开用户的摄像头，但攻击者仍然可以通过在恶意网站插入Zoom链接，“强迫”误点链接的用户加入到Zoom会议中。

Zoom用户该如何保护自己？

Leitschuh强调，Zoom目前存在的所有漏洞都可以被不法者通过“偷渡式攻击”方法利用，并给用户带来严重威胁，他坚信为了充分保护用户，Zoom应用程序中的本地Web服务器解决方案需要被删除。

既然Zoom官方不太”给力“，那普通用户应该做点什么来保护自己的信息安全呢？Leitschuh为想自己修补这个漏洞的用户提供了以下解决办法：

禁用Zoom里面“加入会议时打开网络摄像头”这项功能。

或者，运行下面这条终端命令：

# For just your local account
defaults write ~/Library/Preferences/us.zoom.config.plist ZDisableVideo 1
# For all users on the machine
sudo defaults write /Library/Preferences/us.zoom.config.plist ZDisableVideo 1

要关闭Web服务器，请运行lsof -i :19421以获取进程的PID，然后执行kill -9 [process number]。然后你就可以删除~/.zoomus目录以清除Web服务器的应用程序文件。

为了防止Zoom更新后还原此服务器，你可以在终端中执行以下命令：

rm -rf ~/.zoomus
touch ~/.zoomus

Zoom最新回应

7月10日InfoQ最新消息，目前Zoom已经为解决Mac用户的“零日漏洞”紧急推出了修复补丁。在7月9日凌晨12点之前，Zoom的紧急补丁执行了以下操作：

1.更新Zoom客户端后，完全删除本地Web服务器：停止在Mac设备上使用本地Web服务器。部署修补程序后，将在Zoom用户界面（UI）中提示Mac用户更新其客户端。更新完成后，将在该设备上完全删除本地Web服务器。

2.允许用户手动卸载Zoom：Zoom菜单栏中添加了一个新选项，允许用户手动和完全卸载Zoom客户端，包括本地Web服务器。部署修补程序后，将出现一个新的菜单选项，显示“卸载Zoom”。单击该按钮，将从用户设备中完全删除Zoom以及用户保存的设置。

对于多家媒体报道的安全漏洞问题，Zoom的首席信息安全官理查德法利向外媒The Verge回应称，“我们的原始立场是安装此「Web服务器」以使用户无需进行额外点击即可加入会议，我们认为这是正确的决定，这是我们的一些客户的要求。但我们也承认并尊重其他人的观点，他们不希望在本地计算机上安装额外的流程，因此我们决定删除该组件。”对于另一个关注度较高的问题“在网页内的iframe中包含Zoom链接”，理查德法利表示，Zoom不会阻止该功能，因为太多的大型企业客户在他们的Zoom软件实现中使用iframe。

Zoom官方还表示将在本月晚些时候推出一项更新，让用户可以保存视频通话首选项，以便在加入新通话时网络摄像头可以保持关闭状态。

7月11日，苹果公司也推出了针对Zoom安全漏洞的解决方案，它为Mac用户发布了一个静默更新，删除了Zoom应用程序中易受攻击的组件。苹果表示，此更新不需要任何用户交互，而是自动部署，更新将提示用户是否要打开应用程序，而不会自动打开。

虽然Zoom日前已经用紧急补丁修复了原应用程序的漏洞，但苹果表示，其举动是为了保护新老Mac用户免受未记录的Web服务器漏洞的困扰，而不会影响或阻碍Zoom应用程序本身的功能。

其实，苹果经常向Mac推出静默更新，以阻止已知的恶意软件，这有点类似于反恶意软件服务。但苹果很少公开针对已知或受欢迎的应用程序采取行动，该公司认为，它推动静默更新以保护用户免受暴露的Web服务器带来的风险。

关于Zoom安全漏洞的更多信息详见：

https://medium.com/@jonathan.leitschuh/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5

创作场景

Zoom 爆出严重漏洞：任何网站可劫持 Mac 摄像头，祸及 400 万用户