Apple rilascia un silenzioso aggiornamento Mac che rimuove il server web locale di Zoom
Un ricercatore di sicurezza ha recentemente scoperto che l'app Zoom ha un difetto di sicurezza piuttosto preoccupante per chi usa l'app sui Mac. Secondo un post media pubblicato lunedì 8 luglio dal ricercatore della sicurezza Jonathan Leitschuh, la versione Mac dell'applicazione Zoom presenta una vulnerabilità che consente ai siti Web di avviare videochiamate (e accendere la webcam) senza autorizzazione.
Ma a partire da mercoledì 10 luglio, Apple ha deciso di affrontare il problema di sicurezza di Zoom con una soluzione a parte: un silenzioso aggiornamento per Mac che rimuove un server Web localhost problematico fornito con la versione Mac della nota app di videoconferenza, i report TechCrunch .
Zoom è noto e utilizzato da innumerevoli aziende proprio per la sua facilità d'uso. (Gli utenti possono partecipare alle videochiamate solo con un collegamento condiviso e un clic). Tuttavia, risulta che questa particolare caratteristica di facile utilizzo è all'origine della vulnerabilità. Secondo il post di Leitschuh, l'installazione del client Zoom per Mac non viene solo con l'app di videochiamata stessa; inoltre viene fornito con un server Web localhost installato. Questo server locale è ciò che consente agli utenti Mac di accedere con un solo clic a una chiamata video Zoom. Ma come osserva Leitschuh, la funzionalità del server locale "non era stata implementata in modo sicuro".
Infatti, il server è così vulnerabile che consente ad altri siti Web potenzialmente dannosi di accedere alle webcam Mac per "unire forzatamente un utente a una chiamata Zoom" e attivare le proprie webcam senza autorizzazione. Inoltre, il difetto di sicurezza del server (per le versioni precedenti di Zoom) avrebbe consentito ai siti Web di completare un attacco DoS (Denial of Service) sui Mac "ripetendo l'accesso a una chiamata non valida." Anche Leitschuh ha notato che il difetto di sicurezza DoS è stato corretto nella versione 4.4.2 del client Zoom.
Gli utenti non possono semplicemente disinstallare Zoom per risolvere il problema. Il rapporto di Leitschuh ha anche menzionato che il server web locale rimane sul tuo Mac anche dopo aver disinstallato Zoom. Inoltre, quel server può ancora reinstallare Zoom senza la tua autorizzazione. E sembra, almeno secondo la versione degli eventi di Leitschuh, che Zoom, pur consapevole del difetto, non avesse completamente risolto il problema di sicurezza in quel momento.
Zoom inizialmente ha detto che non avrebbe risolto il problema, ma alla fine ha detto che avrebbe rilasciato una patch Martedì che avrebbe eliminato il bug, secondo Wired .
Nonostante la nuova patch di Zoom, Apple ha ora fornito una propria soluzione per il problema di sicurezza della webcam di Zoom. Secondo TechCrunch, l'aggiornamento Mac (automatico) silenzioso dovrebbe rimuovere il server locale che è stato installato insieme all'app di videoconferenza di Zoom. L'aggiornamento silenzioso conterrà anche una funzione che richiede agli utenti Mac se desiderano aprire l'app Zoom, invece di aprire l'app automaticamente.
Apple ha fatto luce sul ragionamento alla base della creazione di questo silenzioso aggiornamento Mac e ha dichiarato a TechCrunch che l'aggiornamento era inteso a proteggere gli utenti passati e presenti dell'App Zoom per Mac dalla vulnerabilità dell'app, preservando al tempo stesso la funzionalità dell'app.
Aggiornato l'11 luglio 2019: Apple ha rilasciato un aggiornamento Mac che rimuove il server Web locale di Zoom.
