Zoom risolverà un bug che consente ai siti Web di avviare videochiamate senza autorizzazione

foto sotck di Macbook Pro
Craig Adderley / Pexels

Se hai bisogno di un altro motivo per investire in una copertura per webcam , eccola qui.

App di videoconferenza popolare Zoom ha un difetto di sicurezza piuttosto preoccupante per chi usa l'app sui Mac. Secondo un post media pubblicato lunedì 8 luglio dal ricercatore della sicurezza Jonathan Leitschuh, la versione Mac dell'applicazione Zoom presenta una vulnerabilità che consente ai siti Web di avviare videochiamate (e accendere la webcam) senza autorizzazione.

Zoom inizialmente ha detto che non avrebbe risolto il problema, ma alla fine ha detto che avrebbe rilasciato una patch Martedì che avrebbe eliminato il bug, secondo Wired . Gli utenti dovrebbero aggiornare il software Zoom il prima possibile.

Zoom è noto e utilizzato da innumerevoli aziende proprio per la sua facilità d'uso. (Gli utenti possono partecipare alle videochiamate solo con un collegamento condiviso e un clic). Tuttavia, risulta che questa particolare caratteristica di facile utilizzo è all'origine della vulnerabilità. Secondo il post di Leitschuh, l'installazione del client Zoom per Mac non viene solo con l'app di videochiamata stessa; inoltre viene fornito con un server Web host locale installato. Questo server locale è ciò che consente agli utenti Mac di accedere con un solo clic a una chiamata video Zoom. Ma come osserva Leitschuh, la funzionalità del server locale "non era stata implementata in modo sicuro".

Infatti, il server è così vulnerabile che consente ad altri siti Web potenzialmente dannosi di accedere alle webcam Mac per "unire forzatamente un utente a una chiamata Zoom" e attivare le proprie webcam senza autorizzazione. Inoltre, il difetto di sicurezza del server (per le versioni precedenti di Zoom) avrebbe consentito ai siti Web di completare un attacco DoS (Denial of Service) sui Mac "ripetendo l'accesso a una chiamata non valida." Anche Leitschuh ha notato che il difetto di sicurezza DoS è stato corretto nella versione 4.4.2 del client Zoom.

Ma non puoi semplicemente disinstallare Zoom per risolvere il problema. Il rapporto di Leitschuh ha anche menzionato che il server web locale rimane sul tuo Mac anche dopo aver disinstallato Zoom. Inoltre, quel server può ancora reinstallare Zoom senza la tua autorizzazione. E sembra, almeno secondo la versione degli eventi di Leitschuh, che Zoom, pur consapevole del difetto, non abbia completamente risolto il problema di sicurezza.

Tuttavia, ci sono alcune cose che gli utenti Mac possono fare per proteggersi. Secondo Leitschuh, gli utenti Mac possono risolvere il problema della webcam disabilitando l'impostazione dell'app Zoom che consente di accendere la webcam immediatamente dopo aver partecipato a una chiamata e assicurandosi che l'app stessa sia aggiornata alla versione più recente. Inoltre, il post di Leitschuh offre anche alcuni comandi del terminale che è possibile eseguire per arrestare il server Web e prevenirne il ripristino dopo futuri aggiornamenti.