Jonathan Leitschuh นักวิจัยความมั่นคงปลอดภัยไซเบอร์ รายงานถึงช่องโหว่ของแอปประชุมออนไลน์ Zoom ที่เปิดทางให้ผู้ที่ "เคยติดตั้งแอป" Zoom บนเครื่องแมคถูกโจมตี แอบมองภาพผ่านกล้องเว็บแคม และอาจจะถูกติดตั้งซอฟต์แวร์ลงบนเครื่องได้

Jonathan ระบุว่า Zoom ใช้เทคนิคสำหรับอำนวยความสะดวกผู้ใช้ ให้สามารถเข้าร่วมการประชุมได้ง่ายๆ เพียงแค่เปิดลิงก์การประชุมเท่านั้น โดยอาศัยการวางเว็บเซิร์ฟเวอร์ไว้ในเครื่องผู้ใช้ เว็บเซิร์ฟเวอร์นี้รับ HTTP request จาก localhost เท่านั้น แต่ตอบกลับเป็นภาพ โดยขนาดภาพจะเป็นการคืนค่าสถานะคำสั่ง เช่น 1x1 พิกเซลแสดงว่าคำสั่งรันสำเร็จ 6x1 พิกเซลแปลว่าการรันล้มเหลว

อันตรายสำคัญคือคนร้ายสามารถดึงให้เหยื่อเข้ามาร่วมการประชุมใดๆ ด้วยการฝังลิงก์เพื่อส่งคำสั่งให้แอป Zoom เข้าร่วมการประชุม โดยค่าเริ่มต้นของแอปจะเปิดกล้องทันทีที่ร่วมประชุม ค่าเริ่มต้นนี้สามารถเปลี่ยนได้ โดยทาง Zoom ปฎิเสธคำแนะนำของ Jonathan ให้เปลี่ยนค่าเริ่มต้นเสีย

ที่สำคัญคือเว็บเซิร์ฟเวอร์นี้จะยังคงอยู่ในเครื่องผู้ใช้แม้ผู้ใช้จะถอนแอป Zoom ไปแล้วก็ตาม โดยเว็บเซิร์ฟเวอร์นี้รองรับคำสั่งในการดาวน์โหลดแอป Zoom กลับมาติดตั้งใหม่ โดยมีการตรวจสอบเพียงว่าต้องดาวน์โหลดจากโดเมนที่ได้รับอนุญาต Jonathan พบว่าบางโดเมนในารายการ เช่น zoomgov.com นั้นใกล้หมดอายุ หากบริษัทพลาดปล่อยให้โดเมนหมดอายุ คนร้ายก็จะสามารถติดตั้งแอปบนเครื่องของเหยื่อได้

Jonathan แจ้งไปยัง Zoom ตั้งแต่เดือนมีนาคมที่ผ่านมา และทาง Zoom เสนอเงินรางวัลสำหรับการแจ้งช่องโหว่แต่ให้สัญญาว่าจะไม่เปิดเผยช่องโหว่แม้จะแก้ไขเรียบร้อยแล้วเขาจึงปฎิเสธไป หลังจากนั้นทาง Zoom เสนอว่าจะแก้ไขด้วยการสร้างลายเซ็นสำหรับ URL ที่ได้รับอนุญาตให้เว็บเซิร์ฟเวอร์รับคำสั่ง แต่ Jonathan ระบุว่าการป้องกันไม่เพียงพอ เพราะคนร้ายก็สามารถสร้าง URL จากเซิร์ฟเวอร์ทาง Zoom ได้อยู่ดี

ทาง Zoom แก้ไขหลายครั้งแต่ก็เป็นการปะผุที่คนร้ายสามารถหลบหลีกการป้องกันเหล่านั้นได้ สุดท้าย Jonathan ตัดสินใจเปิดเผยช่องโหว่เพราะครบระยะเวลา 90 วัน โดยแนะนำให้ผู้ใช้ตั้งค่ายกเลิกการเปิดกล้องทันทีที่เข้าประชุม และถอนการติดตั้งเว็บเซิร์ฟเวอร์ของ Zoom ออกเสีย

ที่มา - Medium: Jonathan Leitschuh