พบช่องโหว่ร้ายแรง Zoom แอปประชุมออนไลน์ ล่าสุด Apple ออก patch update แก้ไขแล้ว

ผู้เชี่ยวชาญความมั่นคงของระบบความปลอดภัยไซเบอร์ พบช่องโหว่สุดอันตรายของแอป “Zoom” แอปที่ใช้สำหรับทำการประชุมออนไลน์ โดยมันสามารถเปิดกล้องของผู้ใช้งาน พร้อมกับ Live ขึ้นมาได้โดยไม่ได้รับอนุญาติ ล่าสุด Apple ได้ทำการออก patch update เพื่อแก้ไขปัญหานี้เรียบร้อยแล้ว

apple-silent-update-remove-zoom-web-server

Jonathan Leitschuh ผู้เชี่ยวชาญด้าน Cyber Security พบช่องโหว่ที่คิดว่าน่าจะเป็นอันตรายกับผู้ใช้งาน บนแอปที่มีชื่อว่า Zoom ซึ่งเป็นแอปสำหรับประชุมผ่านทางออนไลน์ ช่องโหว่ที่ว่านี้ ตัวแอปจะทำการแอบติดตั้ง web server ไว้ในเครื่องของผู้ใช้งาน ส่งผลทำให้อาจจะมีผู้ที่ไม่ประสงค์ดี สามารถดึงให้เหยื่อ (ผู้ที่ลงแอป Zoom บน Mac) เข้ามาร่วมการประชุมได้ออนไลน์ ด้วยการฝังลิงก์ที่ส่งคำสั่งไปยังแอป Zoom จากนั้นก็สามารถเปิดกล้องของผู้ลงแอปที่อยู่ในห้องประชุมออนไลน์นั้นได้ทันที โดยที่ไม่ต้องขออนุญาติ หรือ permission ใดๆจากผู้ใช้งานก่อน

หากคิดถึงผลเสียที่จะเกิดขึ้น เช่น คุณกำลังนั่งคุยกับเจ้านายเกี่ยวกับความลับของบริษัทแบบสองต่อสองในห้องส่วนตัว แล้วเปิด Macbook ที่ลงแอป Zoom ทิ้งไว้ มีความเป็นไปได้สูงที่สิ่งที่คุณคุยกับเจ้านายอาจจะถูกดึงเข้าไปอยู่ในห้องประชุมออนไลน์ของแอป Zoom แล้วสิ่งที่คุณคุยกับเจ้านายก็จะถูกไลฟ์ผ่านกล้องเว็บแคม ซึ่งคนที่อยู่ในห้องประชุมออนไลน์ห้องนั้นก็จะเห็นและสามารถรู้ถึงสิ่งที่คุณกำลังคุยอยู่หมดเลย (เหมือนคุณกำลังไลฟ์การคุยลับๆ ของคุณในห้องปิดแบบที่คุณไม่รู้ตัว)

Leitschuh ระบุว่า ด้วยการที่ Zoom อำนวยความสะดวกให้ผู้ใช้งาน สามารถเข้าร่วมประชุมออนไลน์ได้ง่ายๆ เพียงแค่กดลิงก์การประชุมนั้นๆก็สามารถเข้าร่วมได้แล้ว ซึ่งในเชิงเทคนิค แอปก็จะอาศัยการลง web server ไว้ในเครื่องผู้ใช้งาน ซึ่งมันสามารถถูกผู้ไม่ประสงค์ดี ดึงให้เข้าไปอยู่ในห้องประชุมออนไลน์ใดๆก็ได้ และสิ่งที่น่ากลัวอีกอย่าง คือ ค่าตั้งต้นของระบบ คือ ตั้งค่าให้แอปเปิดกล้องทันที่ที่เข้าร่วมประชุม ซึ่ง Leitschuh บอกว่า ทาง Zoom สามารถเปลี่ยนค่าตั้งต้นตรงนี้ได้ (เปลี่ยนเป็นตั้งค่าให้แอปไม่เปิดกล้องทันทีหลังจากที่เข้าร่วมประชุม) แต่ทาง Zoom เองดูจะไม่สนใจคำแนะนำดังกล่าว

ความอันตรายต่อมาก็คือ ถึงแม้ว่า ผู้ใช้งานจะลบแอป Zoom ออกจากเครื่องแล้ว แต่เจ้า web server ยังคงอยู่ในเครื่องของผู้ใช้งาน ซึ่งเจ้า web server ตัวแสบนี้ รองรับคำสั่งในการดาวน์โหลดแอป Zoom กลับมาติดตั้งใหม่อีกครั้ง เพียงแค่ตรวจสอบให้แน่ใจว่าทำการดาวน์โหลดมาจากโดเมนที่ได้รับอนุญาติ ซึ่งทาง Jonathan Leitschuh สังเกตุพบว่า โดเมน zoomgov.com นั้นใกล้หมดอายุแล้ว หากบริษัทไม่ทำการต่ออายุ แล้วปล่อยให้โดเมนดังกล่าวหมดอายุ อาจมีคนไม่ประสงค์ดีเข้าไปสวมใช้โดเมนดังกล่าว แล้วสามารถใช้โดเมนนั้นๆทำการติดตั้งแอปบนเครื่องของผู้ใช้งานได้

เมื่อ Apple ทราบถึงช่องโหว่ดังกล่าวของแอป Zoom ล่าสุด Apple จึงได้ทำ patch update ทางฝั่งของตัวเอง เพื่อเข้าไปลบ web server ของ Zoom โดยผู้ใช้งานเองก็ไม่รู้ตัว เพราะ patch ดังกล่าวจะถูกอัพเดตสู่เครื่อง Mac แบบเงียบๆโดยที่เจ้าของเครื่องไม่ต้องลงมือทำอะไรเลย

ถึงแม้ทาง Zoom เองก็รู้ถึงช่องโหว่นี้ และทำ patch ออกมาแก้ไขแล้วเช่นกัน แต่ทาง Apple เองก็ยังมีความกังวลว่า อาจมีผู้ใช้งานหลายคนที่ยังไม่ได้ทำการอัพเดต patch ดังกล่าวของ Zoom และเสี่ยงอันตรายต่อการถูกดึงเข้าห้องประชุมออนไลน์ และแอบดูผ่านกล้องเว็บแคมเหมือนเดิม จึงคิดหาทางแก้ไขด้วยการทำ patch update ออกมาซะเอง

ล่าสุด ทางโฆษกของ Zoom เผยว่า ทางบริษัทยินดีร่วมทดสอบการอัพเดตกับทาง Apple และร่วมกันแก้ไขปัญหาให้หมดไป

medium | Techcrunch

Message us