Se você usa o software de videoconferência Zoom em seu computador Mac – então tome cuidado – qualquer site que você esteja visitando em seu navegador da Web pode ligar a câmera do seu dispositivo sem a sua permissão.
Ironicamente, mesmo que você tenha instalado o cliente Zoom no seu dispositivo e simplesmente o tenha desinstalado, um invasor remoto ainda pode ativar sua webcam.
O Zoom é uma das plataformas de reunião baseadas em nuvem mais populares que oferecem opções de vídeo, áudio e compartilhamento de tela aos usuários, permitindo que eles hospedem seminários on-line, ministrem cursos on-line, conduzam treinamentos on-line ou participem de reuniões virtuais on-line.
Em um post do Medium publicado hoje, Jonathan Leitschuh, pesquisador de segurança cibernética, divulgou detalhes de uma vulnerabilidade crítica de segurança não corrigida (CVE-2019-13450) no aplicativo cliente Zoom para computadores Apple Mac, que, se combinados com uma falha separada, podem permitir que invasores executem código nos sistemas de destino remotamente.
Jonathan relatou responsavelmente a vulnerabilidade de segurança para a empresa afetada há mais de 90 dias, mas a equipe do Zoom não conseguiu oferecer um patch de segurança adequado, colocando em risco a privacidade e a segurança de seus mais de 4 milhões de usuários.
A vulnerabilidade aproveita o recurso click-to-join do popular software de conferência projetado para ativar automaticamente o aplicativo Zoom instalado no sistema, permitindo que os participantes ingressem rapidamente em uma videoconferência por meio de seu navegador da Web assim que clicam em um convite link, por exemplo, https://zoom.us/j/492468757.
Jonathan descobriu que, para oferecer esse recurso, o software Zoom executa um servidor web local no sistema – na porta 19421 – que “inseguramente” recebe comandos através dos parâmetros HTTPS GET e qualquer site em seu navegador da Web aberto pode interagir com ele.
Para explorar essa vulnerabilidade, o invasor precisa criar um link de convite por meio de sua conta no site da Zoom e incorporá-lo a um site de terceiros como uma tag de imagem ou usando um iFrame e convencer os alvos a visitar esse site.
“Ativando” Participantes: “Ao marcar uma reunião, descobri que todos que participavam da minha reunião automaticamente tinham seus vídeos conectados”, disse Jonathan.
Assim que os usuários do Mac com o cliente Zoom instalado em seu sistema visitarem o site mal-intencionado, ele lançará o aplicativo Zoom e ativará a webcam, expondo-os a invasores.
“Isso pode estar embutido em anúncios maliciosos ou pode ser usado como parte de uma campanha de phishing. Se eu fosse um invasor, provavelmente investiria algum tempo para incluir também a lógica de porta de incremento que o código no Javascript em execução no site da Zoom, “Jonathan disse.
Simplesmente desinstalar o software não é suficiente para se livrar desse problema, pois Jonathan explicou que o recurso de clicar para entrar também aceita um comando que reinstala automaticamente o Zoom sem a intervenção ou permissão dos usuários.
Além de ligar a webcam, a vulnerabilidade também pode ser abusada para DoS atacar o computador Mac de destino simplesmente enviando um grande número de solicitações GET repetidas para o servidor local.
“O Zoom acabou corrigindo essa vulnerabilidade, mas tudo o que eles fizeram foi impedir que o invasor ligasse a câmera de vídeo do usuário”, disse Jonathan. “Eles não desabilitaram a capacidade de um invasor entrar forçosamente em uma chamada, qualquer um visitando um site malicioso.”
A vulnerabilidade afeta a última versão 4.4.4 do aplicativo Zoom para Mac.
Além do Zoom, Jonathan também revelou a vulnerabilidade para as equipes do Chromium e do Mozilla, mas como o problema não reside em seus navegadores, não há muito o que essas empresas possam fazer.
No entanto, a boa notícia é que os usuários ainda podem corrigir esse problema nos seus fins. Tudo o que você precisa fazer é desativar manualmente a configuração que permite que o Zoom ligue automaticamente sua webcam ao participar de uma reunião.
Para isso, basta acessar a janela Configurações de zoom e ativar a configuração “Desativar meu vídeo ao ingressar em uma reunião”.
Você também pode executar uma série de comandos do Terminal, que você pode encontrar na parte inferior da postagem de Jonathan, para desinstalar completamente o servidor da web.
Zoom respondido aos achados do pesquisador
Em um comunicado publicado hoje, a empresa reconheceu o problema, mas acrescentou que “como a interface de usuário do cliente Zoom é executada em primeiro plano no momento do lançamento, fica evidente para o usuário que eles participaram acidentalmente de uma reunião e poderiam mudar configurações de vídeo ou sair imediatamente. ”
Além disso, a empresa disse que não tem “nenhuma indicação” se os problemas relatados foram explorados para violar a privacidade de qualquer um dos seus usuários.
A Zoom também reconheceu outras preocupações relacionadas ao seu software e disse que a vulnerabilidade de denial of service (DOS) local relatada pelo pesquisador já foi corrigida em maio de 2019, embora a empresa tenha dito que não forçou seus usuários a atualizar porque ela é “empiricamente”. vulnerabilidade de baixo risco “.
A empresa também informou que instala um servidor web de funcionalidade limitada quando os usuários instalam o cliente Zoom para oferecer um clique para participar de reuniões que evitam o clique extra dos usuários antes de participar de todas as reuniões, mas não comentam por que o servidor permanece instalado na máquina local, mesmo quando um usuário optar por desinstalar o software cliente.
