Zoom修補Mac版三大漏洞
原文刊於信報財經新聞「StartupBeat創科鬥室」
疫下不少企業推行居家工作,多數會透過視像軟件Zoom開會。美國科技新聞網站Wired引述,在今年剛結束的黑客大會DEF CON,有研究員發現Zoom存在3個程式漏洞。當蘋果公司Mac電腦自動更新時,黑客可藉此遙控作業系統。Zoom其後承認事件,並推出修復程式補救。
蘋果公司向來甚為關注用戶私隱,當用戶首次安裝Zoom軟件時,必須輸入密碼,同時程式啟用自動更新。曾在美國國家安全局工作的蘋果公司安全性研究員沃德爾(Patrick Wardle)發現,Zoom存在3個與自動更新有關的軟件安全漏洞。
以首兩個漏洞為例,黑客若把惡意套件(Package)改成特定名稱,即可繞過Zoom的數碼簽署檢查(Cryptographic Checks),安裝含有更多安全漏洞的舊版Zoom,以取得作業系統控制權。其後,Zoom即時推出更新程式修復問題。
不過,沃德爾進一步在DEF CON,披露第三個漏洞,指當系統驗證官方新版Zoom套件後、未完成安裝期間,黑客仍可引入惡意軟件(Malicious Software),以低權限用戶(Low-privileged Users)身份,竊取自動更新程式的Root權限,藉此控制電腦,添加、刪除檔案或修改作業系統。
上周日(14日),Zoom再度更新程式,讓用戶立即堵塞漏洞。
1900個Signal電話號碼被外洩
此外,加密通訊軟件Signal近日亦被爆資料外洩。其合作夥伴、負責Signal電話驗證服務的美國雲端電訊公司Twilio Inc,日前遭網絡釣魚攻擊,導致約1900名Signal用戶電話號碼外洩。
Signal強調,系統不會儲存用戶的通話內容記錄、聯絡人資料等,所有資訊僅存放在用戶註冊的裝置上,重申今次受影響用戶僅佔少數。同時以短訊通知涉事用戶,取消其裝置的應用程式註冊紀錄,要求他們重新註冊,並建議啟動註冊鎖定( Registration Lock ),確保安全。
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
