Уязвимость веб-камеры Mac, обнаруженная в приложении для видеоконференций Zoom, также присутствует в RingCentral и Zhumu. Ну а поскольку Zoom распространяет свой код для работы с вебкамерой в формате white lable, вполне вероятно, что эта уязвимость коснется еще многих и многих приложений.

Проблема заключается в том, что приложения, пользующиеся программным продуктом от Zoom, создают локальный веб-сервер, который работает в фоновом режиме и остаётся даже после удаления самого приложения. Если злоумышленник воспользуется техническим URL, он может активировать вашу веб-камеру и присоединит вас к видеоконференции.

Apple выпустила автоматическое обновление безопасности для macOS, которое удаляет локальный веб-сервер, устанавливаемый Zoom. Однако для других приложений этот патч не работает. RingCentral выпустил свой собственный экстренный патч. Однако патча, который устраняет ошибки в Zhumu, до сих пор не существует, не говоря уже об остальных приложениях.

Сегодня разработчик Кэрон Лайонс выложил на GitHub терминальные команды для удаления веб-сервера вручную и предотвращения его последующей установки.

rm -rf ~/.zoomus; touch ~/.zoomus && chmod 555 ~/.zoomus; pkill «ZoomOpener»

rm -rf ~/.ringcentralopener; touch ~/.ringcentralopener && chmod 555 ~/.ringcentralopener; pkill «RingCentralOpener»

rm -rf ~/.zhumuopener; touch ~/.zhumuopener && chmod 555 ~/.zhumuopener; pkill «ZhumuOpener»

Но в целом, в обсуждениях пользователи сходятся на том, что заклеивание камеры куском изоленты всё меньше вызывает смех как глупая и параноидальная идея. Вполне рабочее решение в XXI веке!