Ga naar inhoud

Welkom op PC Helpforum!
PC Helpforum helpt GRATIS computergebruikers sinds 2006. Ons team geeft via het forum professioneel antwoord op uw vragen en probeert uw pc problemen zo snel mogelijk op te lossen. Word lid vandaag, plaats je vraag online en het PC Helpforum-team helpt u graag verder!


Captain Kirk

Zoom-lek geeft websites toegang tot miljoenen webcams

Aanbevolen berichten

Een beveiligingslek in de videoconferentiesoftware Zoom maakt het voor willekeurige websites mogelijk om toegang tot miljoenen webcams te krijgen. Alleen het bezoeken van een website volstaat om de aanval uit te voeren. De software van Zoom zou door meer dan 750.000 bedrijven wereldwijd worden gebruikt.

Organisaties gebruiken het voor videoconferenties en andere zaken. Zoom claimde in 2015 meer dan 40 miljoen gebruikers te hebben. Een kwetsbaarheid in de Zoom-software voor macOS zorgt ervoor dat willekeurige websites gebruikers zonder toestemming aan een Zoom-gesprek kunnen laten deelnemen, met hun webcam ingeschakeld. In het geval gebruikers de Zoom-software hebben verwijderd is het via de achtergebleven localhost-webserver nog steeds mogelijk voor websites om de Zoom-software opnieuw te installeren. Wederom is er geen enkele interactie van de gebruiker vereist, behalve het bezoeken van een malafide site.

De kwetsbaarheid die toegang tot de webcam geeft maakt gebruik van een feature in Zoom om uitnodigingslinks te versturen. Zodra een gebruiker een dergelijke link in hun browser opent wordt de Zoom-software gestart. Onderzoeker Jonathan Leitschuh ontdekte dat deze feature niet op veilige wijze is geïmplementeerd. Het is mogelijk om de uitnodigingslink in een iframe te verbergen die vervolgens bij het bezoeken van de betreffende website automatisch wordt uitgevoerd.

Leitschuh rapporteerde de kwetsbaarheid op 26 maart van dit jaar aan Zoom. Het softwarebedrijf had tien dagen nodig om de kwetsbaarheid te bevestigen. Uiteindelijk heeft Zoom besloten de kwetsbaarheden waardoor gebruikers door alleen het bezoeken van een website aan een videoconferentie kunnen worden toegevoegd of de Zoom-software opnieuw wordt geïnstalleerd niet te verhelpen. Het bedrijf wil het naar eigen zeggen zo eenvoudig mogelijk voor gebruikers maken om aan een meeting deel te nemen, aldus de verklaring.

Zoom stelt verder dat gebruikers zien dat ze zonder hun toestemming zijn uitgenodigd aan een gesprek of meeting en die vervolgens kunnen verlaten. Tevens zal het bedrijf een update uitbrengen die ervoor zorgt dat de video-instelling van de eerste Zoom-meeting wordt onthouden. Als gebruikers bij die eerste meeting hebben ingesteld dat de webcam moet zijn uitgeschakeld, zal dit ook voor toekomstige meetings gelden. Daarnaast hebben gebruikers de optie om de webcam via de instellingen uit te schakelen.

 

 

bron: security.nl

Deel dit bericht


Link naar bericht
Delen op andere sites

  • Topicstarter
  •    174

    Update

     

    De makers van videoconferentiesoftware Zoom hebben na felle kritiek van gebruikers en beveiligingsexperts toch besloten een update uit te brengen. Ook erkent het bedrijf dat het de problemen die onderzoeker Jonathan Leitschuh ontdekte initieel niet als een groot risico beschouwde.

    Leitschuh ontdekte dat het mogelijk is voor websites om Zoom-gebruikers ongevraagd aan een meeting deel te laten nemen waarbij hun webcam wordt ingeschakeld. Hiervoor is er geen enkele interactie van gebruikers vereist. In het geval gebruikers de Zoom-software hebben verwijderd is het via de achtergebleven localhost-webserver nog steeds mogelijk voor websites om de Zoom-software opnieuw te installeren. Wederom is er geen enkele interactie van de gebruiker vereist, behalve het bezoeken van een malafide site.

    Naar aanleiding van de gevonden kwetsbaarheden stelde Zoom dat het voor gebruikers zo eenvoudig mogelijk moet zijn om aan meetings en gesprekken deel te nemen. Het probleem met de webserver zou dan ook niet worden verholpen. Wel zou er een update uitkomen die de video-instelling van de eerste Zoom-meeting zal onthouden.

    In een nieuwe reactie laat Zoom weten dat het een update heeft uitgebracht waarmee de lokale webserver wordt verwijderd. Tevens kunnen gebruikers Zoom handmatig volledig verwijderen, inclusief de lokale webserver. Zoom erkent dat het de problemen met de webserver en de ingeschakelde webcam initieel niet als een groot risico voor gebruikers zag. Na kritiek van gebruikers en beveiligingsexperts heeft het toch besloten om met updates te komen. Dit weekend zal er een tweede update verschijnen die de keuze onthoudt als gebruikers bij hun eerste Zoom-meeting de webcam uitschakelen.

     

     

    bron: security.nl

    Deel dit bericht


    Link naar bericht
    Delen op andere sites

    Doe mee aan dit gesprek

    Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

    Gast
    Reageer op dit topic

    ×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

      Er zijn maximaal 75 emoji toegestaan.

    ×   Je link werd automatisch ingevoegd.   Tonen als normale link

    ×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

    ×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in


    Logo

    OVER ONS

    PC Helpforum helpt GRATIS computergebruikers sinds juli 2006. Ons team geeft via het forum professioneel antwoord op uw vragen en probeert uw pc problemen zo snel mogelijk op te lossen. Word lid vandaag, plaats je vraag online en het PC Helpforum-team helpt u graag verder!

    ×
    ×
    • Nieuwe aanmaken...

    Belangrijke informatie

    We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.