Chuyên gia bảo mật Jonathan Leitschuh đã công bố một lỗ hổng zero-day (lỗ hổng chưa được khắc phục) trên ứng dụng hội nghị trực tuyến Zoom trên Macs. Anh cho biết bất cứ trang web nào cũng có thể kích hoạt cuộc gọi video call trên máy Mac có cài đặt ứng dụng này.

Điều này có thể khả thi vì ứng dụng Zoom cài đặt một máy chủ trên máy Macs và cho phép các trình duyệt thông thường truy cập vào máy chủ này. Trên thực tế, nếu bạn gỡ bỏ ứng dụng Zoom, máy chủ này vẫn sẽ tồn tại và có thể cài đặt lại Zoom mà không cần sự can thiệp của người dùng. Theo hướng dẫn của Leitschuh, phóng viên của The Verge đã thử nghiệm và xác nhận lỗ hổng này có thể khai thác được. Khi máy tính của bạn đã cài đặt Zoom và chưa thao tác gì trong cài đặt ứng dụng, bạn chỉ cần nhấp chuột vào một đường link sau đó bạn sẽ tự động tham gia một cuộc gọi thoại nhóm và kích hoạt camera trên máy tính.

Leitschuh cho biết anh đã thông báo lỗ hổng cho nhà phát triển từ cuối tháng 3 và công ty có 90 ngày để vá lỗ hổng này. Anh cũng cho biết phía Zoom đã thử nhiều cách để vá lỗ hổng bảo mật này. Lỗ hổng cũng được thông báo cho nhóm phát triển Chromium và Mozilla, nhưng vấn đề không thuộc phần trình duyệt của họ, do đó họ không thể làm gì nhiều trước lỗ hổng này.

Có thể chiếm quyền camera trên máy tính đã là một lỗ hổng lớn, trong khi đó một máy chủ tồn tại trên máy tính của người dùng có thể dẫn đến nhiều vấn đề bảo mật khác. Ví dụ như trong một phiên bản cũ của ứng dụng Zoom, chúng ta có thể thực hiện một cuộc tấn công từ chối dịch vụ trên máy Macs bằng cách gửi liên tục tín hiệu ping lên máy chủ: "Chỉ đơn giản gửi yêu cầu GET lặp đi lặp lại, ứng dụng Zoom sẽ liên tục yêu cầu tài nguyên từ hệ điều hành", Leitschuh viết.

Bạn có thể tạm khắc phục lỗ hổng này bằng cách cập nhật ứng dụng phiên bản mới nhất, đồng thời vô hiệu hóa tính năng cho phép Zoom tự động bật camera khi tham gia hội nghị (hình minh họa các bước bên dưới). Một lần nữa, xóa ứng dụng Zoom không thể khắc phục sự cố này khi nào máy chủ vẫn nằm trên Macbook của bạn. Để tắt máy chủ yêu cầu phải chạy một số lệnh kỹ thuật, các lệnh này đã được hướng dẫn trong các bài viết khác trên mạng.

Zoom cho biết họ phát triển các máy chủ cục bộ trên máy tính của người dùng để tiết kiệm một số thao tác cho người dùng. Sau khi Apple cập nhật ứng dụng trình duyệt Safari, ứng dụng này yêu cầu người dùng phải xác nhận mỗi khi khởi chạy ứng dụng Zoom. Zoom còn bao biện rằng giải pháp của họ là "giải pháp thích hợp cho trải nghiệm của người dùng, cho phép người dùng thực hiện các cuộc họp liên tục, chỉ cần nhấp chuột một lần để tham gia, đó là điểm khác biệt trong sản phẩm của chúng tôi".

Công ty cho biết họ sẽ có điều chỉnh nhỏ trong ứng dụng: từ tháng 7, Zoom sẽ lưu lại tùy chọn bật video hay không khi người dùng hay và quản trị viên lần đầu tham gia hội nghị. Nhìn chung, có vẻ như Zoom không có kế hoạch thay đổi cách thức hoạt động trên máy Macs để tránh việc người dùng bị tham gia vào một cuộc gọi không mong muốn, nhưng thay vào đó họ chỉ cho phép người dùng tính năng mặc định tắt camera của mình.

Theo Minh Bảo (Vnreview.vn)