fbpx

Fallo en Zoom deja a la vista a millones de usuarios Mac

Permite a los sitios web acceder a la cámara de tu ordenador

La aplicación de videoconferencia Zoom tiene un importante defecto de seguridad con sus clientes que poseen Mac. Permite que cualquier sitio web encienda la cámara de su Mac sin previo aviso, afirma el investigador de seguridad Jonathan Leitschuh.

Leitschuh detalló la vulnerabilidad, dice que se la reveló a Zoom hace más de 90 días y la compañía aún no la ha arreglado.

El problema radica en el uso que hace Zoom de un servidor web en las máquinas locales de los usuarios. Esto hace que algunas de las características más interesantes de Zoom sean posibles. Por ejemplo, al hacer clic en un enlace simple de su navegador web se inicia automáticamente la aplicación.

Tener una aplicación que instale y ejecute un servidor web en la máquina de un usuario con una API no documentada «es increíblemente impreciso», dice Leitschuh. Pero hay más. Según Leitschuh, «este servidor web puede hacer mucho más que iniciar una reunión de Zoom. (…) este servidor web también puede reinstalar la aplicación Zoom si un usuario la ha desinstalado».

Esto es malo por sí mismo, pero Leitschuh descubrió una vulnerabilidad que le permitía lanzar una llamada de Zoom, con el video activado en la máquina de un usuario sin permiso. La misma vulnerabilidad permite al atacante realizar un ataque de tipo DOS (denegación de servicio) en el equipo de un usuario.

Imagen: Zoom Support

Zoom responde

Leitschuh dice que se puso en contacto con Zoom el 26 de marzo, ofreciendo a la compañía una solución rápida para la vulnerabilidad. Después de un montón de ida y vuelta, Zoom arregló parcialmente el fallo. Pero Leitschuh fue capaz de eludir su arreglo, después de lo cual la compañía no ofreció ningún arreglo adicional. El problema de seguridad sigue presente en la última versión de Zoom para Mac, 4.4.4.

En una entrada del blog del lunes, Zoom defendió la funcionalidad de su aplicación, afirmando que se pide a los usuarios que apaguen su video al unirse a su primera reunión, y que pueden desactivarlo en reuniones posteriores; si lo hacen, sería imposible que el anfitrión u otros participantes encendieran su cámara.

Además, Zoom afirma que «debido a que la interfaz de usuario del cliente de Zoom se ejecuta en primer plano al iniciarse. Sería evidente para el usuario que se había unido involuntariamente a una reunión y que podía cambiar su configuración de video o salir inmediatamente».

La compañía dijo que ofrece a los usuarios más control sobre la configuración de sus videos en el lanzamiento que tuvieron este mes de julio de 2019.

La compañía también se ocupa de la presencia del servidor web en las máquinas de los usuarios. Dicen que es una «solución alternativa a un cambio introducido en Safari 12» y una «solución legítima a un problema de experiencia de usuario deficiente».

Zoom ha evaluado que tanto el problema de la videollamada como el de la DOS eran de «bajo riesgo», por lo que la compañía decidió no cambiar la funcionalidad de la aplicación. También prometió que lanzará un programa de divulgación de la vulnerabilidad pública en las «próximas semanas».

La pregunta principal que los usuarios deberían hacerse es si quieren sacrificar la seguridad de su sistema por un poco de funcionalidad añadida – probablemente, funcionalidad sin la cual pueden vivir. La capacidad de Zoom de reinstalarse sin permiso del usuario después de haber sido desinstalado es particularmente preocupante.

Una función de Huawei enfada a sus usuarios

Boeing 737 MAX saca a la luz un nuevo problema

Botón volver arriba