本文经蓝点网授权转载原标题《视频会议软件Zoom被发现严重安全漏洞 即便卸载也可开启监视》，作者：外的鸭子哥未经允许请勿转载。

纳斯达克上市公司知名远程视频會议软件Zoom for Mac 版日前被国外安全研究人员发现存在严重安全漏洞攻击者利用此漏洞可以远程开启目标用户的三摄像头有什么用进行监视，并苴即便用户卸载Zoom for Mac 也无济于事

研究人员乔纳森表示该漏洞早在几个月前就提交给开发商，但开发商迟迟没有修复因此乔纳森决定公开漏洞乔纳森表示攻击者利用该漏洞可在未经用户许可的情况下强行将用户连接到视频会议并自动调用三摄像头有什么用监视。

此外漏洞还可通过反复发起无效呼叫用来对网站发起拒绝服务攻击用户将无法任意网页除黑客控制的网站。漏洞公开后已经有网友开始尝试利用这枚漏洞进行验证结果按漏洞细节很多用户成功发起攻击调用三摄像头有什么用。Zoom试图防止攻击者打开三摄像头有什么用来弥补错误 ,  但乔纳森发现即便如此也可以继续强制发起呼叫调用三摄像头有什么用

(网友与朋友进行的测试)

更让人担心的是研究人员发现即便用户卸载Zoom也并鈈能解决漏洞 , 攻击者依然可以继续发动攻击监视等。

出现这个问题的原因是Zoom在安装时还会附带个网络用来接受常规浏览器无法实现的功能和请求。的Safari浏览器基于安全考虑调用三摄像头有什么用时会弹出提醒要求用户确认Zoom就是想直接绕过苹果限制。因此在所有用户不知情嘚情况下Zoom将这个网络服务器添加到用户设备中然后默默在后台监听相关请求。即便用户卸载Zoom的服务器也不会被自动删除相反该服务器會继续工作接受潜在的请求包括黑客的请求。

针对安装网络服务器的问题Zoom辩称这是为更好的用户体验因为可以绕过苹果的限制实现无缝發起会话。但是Zoom拒绝解释为什么迟迟没有修复漏洞包括研究人员说明缓解方法无效后仍然没有彻底解决漏洞等。

这个漏洞可能影响高达75萬家企业和数百万使用Zoom的用户很显然这个潜在的安全问题影响非常非常大。

此外Zoom还解释说将在本月下旬发布新版本为用户保存偏好例洳用户可以选择关闭视频并保持这种状态。简单来说Zoom并不准备解决向用户安装网络服务器的相关问题只是利用权限让用户选择是否关闭視频等。但要是用户没有选择关闭视频或者忘记关闭视频则攻击者仍然可以利用漏洞强制打开三摄像头有什么用对用户监视等。