Phát hiện lỗ hổng trong phần mềm Zoom cho phép truy cập camera trái phép

08:00 | 19/07/2019 | LỖ HỔNG ATTT

Hàng triệu người dùng phần mềm hội thảo trực tuyến Zoom trên Macbook đang phải đối mặt với việc rò rỉ thông tin cá nhân, do phần mềm này tồn tại lỗ hổng bảo mật cho phép tin tặc bật camera trên MacBook mà không cần sự cho phép của người dùng.

Mới đây, nhà nghiên cứu bảo mật, kỹ sư phần mềm Gradle - Jonathan Leitshuh đã thông báo về một lỗ hổng bảo mật trong phần mềm Zoom, tồn tại trong tính năng mặc định giúp người dùng tham gia nhanh vào các cuộc gọi video. Vì phần mềm Zoom được cài đặt mặc định trên MacBook, nên hiện tại, lỗ hổng này ảnh hưởng lớn đến người dùng MacBook của Apple.

Phát hiện lỗ hổng trong phần mềm Zoom cho phép truy cập camera trái phép

Nhà nghiên cứu cũng đưa ra những khái niệm cụ thể trong việc giao tiếp với máy chủ web. Tin tặc chỉ cần nhúng đoạn mã độc hại vào trang web và gửi cho nạn nhân. Về cơ bản, nếu người dùng không biết cách điều chỉnh cấu hình ứng dụng Zoom để tắt cuộc gọi trong cuộc trò chuyện video đầu tiên, thì kẻ tấn công có thể dễ dàng theo dõi nguồn cấp dữ liệu video của người dùng.

Hiện tại, người dùng có thể khắc phục lỗ hổng này bằng cách vô hiệu hóa chức năng bật camera của phần mềm Zoom trong phần cài đặt. Trong trạng thái mặc định, người mở cuộc trò chuyện có quyền chọn bật camera của người nhận cuộc gọi hay không khi bắt đầu cuộc nói chuyện, đây chính là lỗ hổng để tin tặc khai thác.

Thay đổi cài đặt để khắc phục lỗ hổng

Công ty phát hành phần mềm Zoom cho biết, vấn đề này thực tế chỉ là một rủi ro không đáng kể, vì hầu hết người dùng sẽ thay đổi cài đặt camera khi mới cài đặt ứng dụng. Tuy nhiên, không loại trừ khả năng nhiều người dùng vẫn sử dụng thiết lập mặc định. Do đó, trong bản cập nhật sắp tới, Zoom sẽ đưa ra lưu ý về tùy chọn bật/tắt camera ngay trong cuộc trò chuyện đầu tiên.

Trong thời gian tới, công ty này sẽ mở một chương trình bug bounty cho ứng dụng Zoom, đồng thời khẳng định đến nay chưa có trường hợp nào ghi nhận lỗ hổng bị tin tặc khai thác. Tuy nhiên, người dùng cần sớm kiểm tra và thay đổi cài đặt của phần mềm Zoom trên máy MacBook để khắc phục lỗ hổng này.

Nhật Minh

Theo Newsweek

‹ › ×

Tin liên quan

Zoom công bố cải tiến bảo mật mới trong phiên bản 5.0

17:00 | 08/05/2020

Ngày 05/5/2020, Zoom Video Communications công bố các cải tiến về bảo mật trên phiên bản 5.0 sắp ra mắt. Điều này đánh dấu cột mốc quan trọng trong kế hoạch 90 ngày của công ty nhằm chủ động xác định, giải quyết và nâng cao khả năng bảo mật cũng như sự riêng tư.

An toàn và bí mật riêng tư trong ứng dụng truyền hình hội nghị Zoom

10:00 | 27/07/2020

Trong những năm gần đây, đã có nhiều tiến bộ về các nền tảng hội nghị truyền hình như Skype, Google Hangouts và WhatsApp, khiến dễ dàng có được tương tác giữa hai điểm dù cho ở bất kỳ đâu trên toàn cầu. Một sản phẩm phần mềm hội nghị truyền hình đang được sử dụng rộng rãi ngày nay là phần mềm hội nghị mang tên Zoom Meetings của hãng Zoom Video Communications.

Lỗ hổng BlueKeep đe dọa hơn 800 nghìn hệ thống

10:00 | 07/08/2019

Các chuyên gia bảo mật của NSA đã đưa ra cảnh báo về lỗ hổng BlueKeep, có thể tạo ra các mối đe dọa nguy hiểm với phạm vi lớn như tấn công sử dụng mã độc tống tiền. Hiện tại, có khoảng 805.000 hệ thống máy tính trên khắp thế giới vẫn đang chịu ảnh hưởng bởi lỗ hổng nghiêm trọng này.

Các phiên bản Zoom độc hại nhắm mục tiêu vào nhân viên làm việc từ xa

10:00 | 06/04/2020

Theo báo cáo của hãng bảo mật Bitdefender (Rumani), các phiên bản độc hại được đóng gói lại của ứng dụng hội nghị truyền hình Zoom đang nhắm mục tiêu vào người dùng Android làm việc tại nhà, bằng phần mềm quảng cáo độc hại và Trojan.

Cách tránh vi phạm quyền riêng tư khi sử dụng hội nghị truyền hình trực tuyến

11:00 | 06/04/2020

Trong tình hình dịch bệnh COVID-19 như hiện nay thì làm việc tại nhà là phương pháp được các tổ chức ưu tiên. Người dùng cần lưu ý một vài điều quan trọng về quyền riêng tư khi sử dụng hội nghị truyền hình. Dưới đây là chia sẻ của Jena Valdetero, luật sư về quyền riêng tư và bảo mật dữ liệu, cũng là đối tác của công ty luật quốc tế Bryan Cave Leighton Paisner, trụ sở chính tại Mỹ.

Danh sách các dòng máy Mac không thể vá lỗ hổng ZombieLoad

08:00 | 20/05/2019

Mới đây, hãng công nghệ Apple đã công bố danh sách các dòng máy Mac không thể cung cấp bản vá bảo mật hoàn chỉnh để khắc phục lỗi ZombieLoad.

Zoom bị cáo buộc chuyển một số cuộc gọi về Trung Quốc

10:00 | 06/04/2020

Lại một lần nữa, ứng dụng hội nghị truyền hình Zoom bị đặt dấu hỏi về bảo mật và quyền riêng tư của người dùng.

Cục An toàn thông tin cảnh báo nguy cơ từ phần mềm Zoom

11:00 | 16/04/2020

Ngày 14/4/2020, Cục An toàn thông tin, Bộ TT&TT đã phát cảnh báo các Bộ, ngành, địa phương và các tổ chức, cá nhân về nguy cơ mất an toàn thông tin từ phần mềm họp trực tuyến Zoom. Theo đó, các cơ quan, tổ chức hành chính nhà nước không nên sử dụng phần mềm Zoom để phục vụ các buổi họp trực tuyến tại đơn vị mình.

Cách phát hiện ứng dụng truy cập camera trái phép trên Windows 10

09:00 | 14/10/2019

Camera hay micro là những thiết bị dễ trở thành đích nhắm của tin tặc, bởi những thông tin nhạy cảm được lưu trữ. Bài viết dưới đây sẽ hướng dẫn người dùng thực hiện cách kiểm tra các ứng dụng truy cập camera trái phép trên hệ điều hành Windows 10.

Lỗ hổng cho phép xâm phạm từ xa máy Mac hoàn toàn mới

16:00 | 24/09/2018

Các nhà nghiên cứu mới phát hiện một lỗ hổng cho phép xâm phạm từ xa một máy tính Mac hoàn toàn mới ngay từ lần đầu kết nối wifi.

Do thám màn hình từ xa qua micro của webcam

14:00 | 12/09/2018

Tại hội thảo CRYPTO 2018 ở Santa Barbara vừa diễn ra, các nhà nghiên cứu đã phát hiện một lỗ hổng cho phép do thám màn hình từ xa qua micro của webcam.

Đảm bảo truy cập an toàn ứng dụng của doanh nghiệp

08:00 | 02/01/2020

Việc đảm bảo truy cập an toàn vào các ứng dụng có vai trò rất quan trọng đối với các tổ chức, doanh nghiệp (TC/DN) hiện nay. Tuy nhiên, để thực hiện được điều này các TC/DN phải đối mặt với rất nhiều khó khăn và thách thức.

Tin cùng chuyên mục

Gia tăng các hình thức lừa đảo trực tuyến

09:00 | 19/04/2024

Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.

Plugin GPT của bên thứ ba có thể khiến người dùng bị chiếm đoạt tài khoản

08:00 | 04/04/2024

Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.

Cơ quan an ninh mạng Hoa Kỳ cảnh báo lỗi Microsoft Streaming bị khai thác trong các cuộc tấn công mạng

13:00 | 19/03/2024

Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).

Giải mã chiến dịch Operation Blacksmith: Nhóm tin tặc Triều Tiên Lazarus sử dụng phần mềm độc hại mới dựa trên DLang

07:00 | 27/12/2023

Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.