Hoy mismo un invstigador de seguridad, Jonathan Leitschuh, publicaba un fallo de seguridad en el cliente de Zoom para Mac que permitía a cualquier sitio web de caracter malicioso acceder a la cámara sin ningún tipo de permiso o conocimiento por parte del usuario. Este fallo podría afectar a cientos de miles de empresas y usuarios de todo el mundo.
No solo eso, sino que si has instalado el cliente de Zoom todavía no te has deshecho de la vulnerabilidad por completo, aunque lo hayas desinstalado. De nuevo, este cliente puede ser reinstalado sin ninguna interacción por parte del usuario. El fallo ha sido funcional hasta la publicación de la vulnerabilidad.
El fallo en cuestión explota la característica en la que es posible conectarse a una sala de videollamadas de Zoom a través de un enlace directo. Este se abre a través de un navegador, que lanza posteriormente la aplicación concreta en el dispositivo. Según afirma Leitschuh:
"Tenía curiosidad acerca de cómo esta impresionante característica había sido implementada y cómo había sido implementado. Encontré que, realmente no había sido implementada de forma segura."
La gente de The Verge ha utilizado el código de Litshchuh y ha sido capaz de reproducir el fallo. Y no son los únicos, otros usuarios se han podido acabar conectando a grupos de gente aleatoria que mantenían conversaciones en ese momento.
This Zoom vulnerability is bananas. I tried one of the proof of concept links and got connected to three other randos also freaking out about it in real time. https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf
— Matt Haughey (@mathowie) July 9, 2019
El investigador afirma que él reportó la vulnerabilidad a Zoom –la empresa– ya allá por Marzo, dando una cronología de los tiempos que se tomó esta para aceptar o resolver parte del defecto que expone a sus usuarios. Noventa días después, no parece que haya tomado demasiadas medidas para resolverla completamente, teniendo en cuenta que afecta tanto a quienes la tienen instalada –y desactualizada– como a quienes no.
Cómo solucionarlo
Para corregir este fallo de seguridad, podemos acceder a la aplicación de Zoom e ir a los ajustes de vídeo, y forzarla para que este se encuentre desactivado cada vez que entremos en una conversación. De esta forma, aunque se habilite por un sitio web malicioso, este no podrá ver nada.
Puesto que el fallo deja un servidor local activo tras su desinstalación, no es suficiente con este paso, por lo que primero debemos actualizar la aplicación a su última versión y asegurar que esta está actualizada.
Qué dice Zoom
Según recoge The Verge, Zoom afirma haber desarrollado ese problemático servidor web local para hacer las conexiones más inmediatas e intuitivas para el usuario:
"[El servidor es una] solución legítima a una experiencia de usuario pobre, que permite a nuestros usuarios tener reuniones sin fisuras y con un solo clic para unirse a ellas, que es nuestro principal diferenciador de producto."
Zoom afirma que actualizará de nuevo la aplicación este mismo mes para guardar las prederencias para cuándo el vídeo será activado o no al entrar a una videollamada. Es decir, espera que sus usuarios desactiven el vídeo de sus cámaras por defecto manualmente.
Zoom es un servicio que ya en 2015 tenía 40 millones de usuarios. Probablemente hoy sean más, por lo que es más que posible que sean varios millones de equipos Mac los que han estado o están afectados por este fallo de seguridad.