Daily News Roundup: Mac Exploit active les webcams sans votre permission

Publié: 2022-01-29

L'application de visioconférence Zoom pour Mac présente de graves défauts non résolus malgré les révélations. Lors de la visite d'un site Web malveillant, de mauvais acteurs peuvent activer votre caméra sans autorisation. Si vous avez désinstallé Zoom, le site malveillant peut se réinstaller sans votre intervention.

Le chercheur en sécurité Jonathan Leitschuh a remarqué que Zoom a la capacité de rejoindre automatiquement et de démarrer une session vidéo simplement en visitant un lien. Il s'est demandé comment l'entreprise avait accompli l'exploit en toute sécurité et a enquêté. Il a rapidement découvert que les méthodes de Zoom n'étaient pas du tout sécurisées.

Lorsque vous installez Zoom sur un Mac, il crée un serveur Web sur votre machine. Le serveur Web est problématique à plusieurs niveaux. Avec seulement quelques options, Leitschuh a créé un site Web de preuve de concept. Si Zoom est installé et que vous visitez ce site Web, vous serez automatiquement joint à un appel et votre webcam sera activée sans aucune interaction de votre part, même si vous avez fermé Zoom avant de cliquer sur le lien.

Pire encore, la désinstallation de Zoom ne supprime pas le serveur Web. Le serveur Web peut également réinstaller Zoom par lui-même. Ainsi, si vous visitez un lien malveillant, il peut réinstaller Zoom, vous joindre à un appel et démarrer votre webcam, le tout sans aucune interaction de votre part.

Publicité

Vous pouvez tester cela sur la preuve de concept de Leitschuh, mais sachez que si vous avez installé Zoom, votre caméra démarrera et vous vous retrouverez en communication avec d'autres personnes testant le site. Leitschuh a informé Zoom de ses découvertes avec un délai de grâce de divulgation de 90 jours. Malheureusement, l'entreprise n'a pas fait grand-chose pour résoudre le problème.

Initialement, la société a tout balayé dans le cadre des fonctionnalités qu'elle prend en charge. Zoom a finalement mis en œuvre une solution légère qui empêche la caméra de s'allumer, mais des acteurs malveillants peuvent toujours forcer les utilisateurs à rejoindre un appel et à réinstaller Zoom. [Moyen]

Dans d'autres nouvelles:

  • Microsoft insère des publicités dans Android : si vous avez installé une application Microsoft Android, vous verrez peut-être des publicités pour d'autres applications Microsoft. Mais pas à l'intérieur de l'application elle-même. Microsoft insère des suggestions dans les menus partagés et ouverts d'Android. Si vous partagez une photo avec un ami, vous pouvez voir OneDrive répertorié, même si vous ne l'avez pas installé. En appuyant sur OneDrive, vous accédez au Play Store. Subtil mais grossier. [Police Android]
  • Apple a annoncé une nouvelle gamme de MacBook : Apple bouscule les choses dans le monde MacBook : fini le modèle MacBook et les modèles MacBook Pro sans barre tactile. Mais à leur départ, un MacBook Air moins cher avec un écran amélioré occupe le devant de la scène. Nous pensons que c'est la gamme la plus sensée depuis des années. Nous pensons également que vous devriez de toute façon attendre avant d'acheter un MacBook, en raison des problèmes de clavier persistants. [ReviewGeek]
  • Microsoft a émis un avertissement concernant les logiciels malveillants difficiles à détecter : Microsoft a découvert une campagne de logiciels malveillants, baptisée Astaroth, utilisant des techniques incroyablement avancées pour échapper à la découverte. Astaroth s'appuie sur des outils système, comme l'outil de ligne de commande Windows Management Instrumentation (WMIC), pour faire tout son travail pour se faire passer pour une activité système (une technique Living in the Land). Et il n'enregistre jamais les fichiers, mais s'exécute entièrement en mémoire (une méthode sans fichier). Astaroth est livré par courrier indésirable avec des liens malveillants, alors faites attention à ce que vous cliquez. [ZDNet]
  • Plus de 1000 applications Android ignorent vos choix d'autorisations, vous suivent quand même : les chercheurs en sécurité ont découvert que de nombreuses applications Android vous suivraient même si vous choisissiez des options d'autorisation pour l'empêcher. La plupart utilisent des options alternatives ; par exemple, Shutterfly extrait les informations GPS des métadonnées de vos photos. Certains partagent même des données d'une application à une autre. Android Q devrait résoudre le problème, mais Android n'est pas connu pour ses mises à jour opportunes. [9to5Google]
  • Instagram veut arrêter l'intimidation : Instagram teste de nouvelles fonctionnalités conçues pour réduire l'intimidation sur sa plateforme. Le premier est un processus d'IA qui détecte quand vous écrivez quelque chose de désobligeant et vous demande si vous voulez vraiment publier le commentaire. La seconde permettra aux utilisateurs de suivre les commentateurs d'interdiction. Un shadowban cache les commentaires de tout le monde sauf l'affiche sans les notifier. [Instagram]
  • Spotify Lite est plus petit, avec moins de fonctionnalités : la nouvelle application Lite de Spotify pour Android a une taille svelte de 10 Mo, ce qui est idéal pour les appareils avec un stockage limité et les pays avec des vitesses Internet plus lentes. Bien sûr, la petite taille signifie moins de fonctionnalités. Mais vous obtenez toujours la partie la plus importante, la musique, qui est vraiment tout ce qui compte. Bien qu'il soit maintenant disponible sur 36 marchés à travers le monde, les États-Unis n'en font pas partie. [Engadget]
  • Google dit que vous pouvez conserver vos jeux Stadia : Google Stadia est incroyablement intrigant. Mais une question (ok beaucoup de questions) pesait lourdement : que se passe-t-il si un éditeur de jeux cesse de prendre en charge Stadia ? Perdez-vous la partie malgré l'argent que vous avez dépensé ? Google a mis à jour sa FAQ, et il promet que vous conserverez vos jeux dans cet événement "sauf circonstances imprévues" (parce que chaque entreprise veut une marge de manœuvre). [Le bord]
  • Les tweets étranges de Microsoft n'étaient qu'une publicité pour Stranger Things : les tweets de Microsoft ont été "étranges" ces derniers temps, vantant Windows 1.0 et d'autres retours en arrière. Les références à 1985 en ont fait un lien probable avec Stranger Things (une émission se déroulant en 1985), et maintenant cela est confirmé avec un pack de thèmes et le téléchargement de l'application Windows 1.11. Si vous aimez les choses moches et que vous aimez vraiment Paint, téléchargez-les maintenant. [Ars Technique]
  • YouTube revient sur FireTV et Prime Video bénéficie de la prise en charge de Chromecast : Google a supprimé YouTube de FireTV alors que les deux sociétés se disputaient la représentation dans les magasins de l'autre. Les entreprises ont promis la paix, et il semble que cela se réalise enfin. Vous trouverez désormais YouTube sur la plupart des appareils FireTV (à l'exception de l'Echo Show). À partir d'aujourd'hui également, Prime Video bénéficiera du support Chromecast. Quel temps pour vivre. [GeekWire]

CONNEXES: Les trois choses dont Google Stadia a besoin pour conquérir l'industrie du jeu

Les écrans tactiles, avec leurs boutons virtuels qui se reconfigurent en fonction de vos besoins, sont une technologie fantastique qui a transformé notre façon de vivre. Sauf si vous êtes aveugle. Les écrans tactiles sont une technologie obtuse pour toute personne non-voyante - les boutons manquent de sensation tactile, ce qui est nécessaire pour les trouver et déterminer leur utilisation.

Les recherches veulent résoudre cela et d'autres problèmes. Ils travaillent sur une peau électronique qui pourrait interagir avec des écrans tactiles pour procurer des sensations tactiles. Pensez-y comme les vibrations de votre téléphone portable, mais à plus petite échelle, cela vous donne une idée de la direction dans laquelle déplacer votre doigt ou de la force avec laquelle vous appuyez.

L'idée est de garder la technologie suffisamment fine pour que vous puissiez la sentir avec votre doigt, tout en intégrant des circuits qui peuvent interagir avec d'autres technologies et avec vous. Les scientifiques espèrent que la peau électronique d'un jour pourrait également ajouter la sensation de sensation et de toucher à une main prothétique. Il reste encore un long chemin à parcourir avant que cela ne se produise, mais maintenant cela semble vraiment possible et pas seulement quelque chose dans le domaine de la science-fiction. C'est un vrai progrès. [Phys.org]