Una grave vulnerabilità (zero-day) nella app di videoconferenza Zoom per Mac potrebbe aver consentito a ignoti di attivare furtivamente le videocamere di migliaia di utenti semplicemente cliccando un link. Da ricordare che Zoom è piuttosto nota per la sua piattaforma cloud-based consente agevolmente di abilitare video-chiamate e condivisione degli schermi in modalità più semplice rispetto a strumenti concorrenti.
L'esperto in cybersicurezza Jonathan Leitschuh ieri ha rivelato pubblicamente su Medium che qualsiasi sito avrebbe potuto aprire una chiamata video su un Mac con l'app Zoom installata poiché questa installa apparentemente un server Web su Mac che accetta richieste che i normali browser non farebbero. Infatti, di-sinstallando Zoom, quel server Web persiste e può re-installare Zoom senza l'intervento dell'utente.
La scoperta – confermata poi da Chromium e Mozilla - risale a marzo, ma dopo 90 giorni pare che Zoom non abbia fatto abbastanza se non prendere in considerazione il tema recentemente. Secondo gli esperti l'esistenza di un server Web sul proprio computer potrebbe creare problemi di una certa gravità. Ad esempio, in una versione precedente di Zoom, è stato possibile attivare un attacco denial of service sui Mac eseguendo continuamente il ping del server Web: "Semplicemente inviando richieste GET ripetute per un numero errato, l'app Zoom richiedeva costantemente "focus" dal sistema operativo ", ha scritto Leitschuh.
A questo punto la soluzione più semplice è aggiornare l'app e disabilitare l'impostazione che consente a Zoom di accendere la videocamera quando si partecipa a una riunione. La semplice disinstallazione di Zoom infatti non risolve il problema, poiché il server Web persiste sul Mac. Spegnere il server Web richiede l'esecuzione di alcuni comandi del terminale, che l'esperto ha dettaglio nel suo post su Medium.
Zoom si è difesa dicendo che si è trattata di "una soluzione legittima a una scarsa esperienza utente, consentendo ai nostri utenti di avere riunioni ininterrotte, con un solo clic, che è il nostro principale elemento di differenziazione del prodotto". Insomma, continua a sostenere l'approccio basato su server Web e si limiterà a rendere disponibile su Zoom "preferenze" che consentiranno agli utenti e agli amministratori - quando si uniranno per la prima volta a una chiamata - di sapere se il video verrà attivato o meno.