Gisteravond laat werd gemeld dat er een grote kwetsbaarheid in de Zoom Mac-app was ontdekt, waardoor het voor sommige sites mogelijk was om de webcam van een computer te kapen.
De zero-day kwetsbaarheid werd ontdekt door beveiligingsonderzoeker Jonathan Leitschuh, die hij aanvankelijk in maart aan Zoom had gemeld. Leitschuh heeft onlangs de details van de kwetsbaarheid voor zijn Medium-account gepubliceerd, met details over hoe het werkt en hoe gevaarlijk het kan zijn voor Zoom-gebruikers.
De algemene kern is dit: wanneer u de videoconferentie-app Zoom op uw Mac installeert, wordt ook een webserver rechtstreeks op uw computer geïnstalleerd. Dit is eigenlijk "accepteert verzoeken die reguliere browsers niet zouden doen", volgens een rapport van De rand. Die webserver wordt uitgevoerd als een achtergrondproces, waardoor het mogelijk wordt om "een gebruiker gedwongen toe te voegen aan een Zoom-oproep, met zijn videocamera geactiveerd, zonder toestemming van de gebruiker".
In de oorspronkelijke Medium-post worden links gegeven om het beveiligingslek te testen. Als u dit doet, neemt de gebruiker deel aan een telefonische vergadering, terwijl de camera al is geactiveerd, zonder dat de gebruiker deze direct accepteert.
Wat erger is, is het feit dat de webserver rechtstreeks op de computer is geïnstalleerd, zelfs als de Zoom-toepassing is verwijderd, blijft deze aanwezig. Wat betekent dat het beveiligingslek werkt, zelfs als de gebruiker Zoom niet langer heeft geïnstalleerd.
Zoals hierboven opgemerkt, heeft Leitschuh Zoom in maart op de hoogte gebracht van de kwetsbaarheid, en de onderzoeker heeft een gedetailleerde tijdlijn samengesteld van hoe dit allemaal gebeurde vóór de openbare bekendmaking op maandagavond. Volgens Leitschuh was de regressie vastgesteld op 8 juli, maar hij was in staat om snel een oplossing te vinden.
Bovendien zegt Leitschuh dat Zoom geen waardevol auto-updateproces heeft geïmplementeerd, wat betekent dat veel Zoom-gebruikers in het wild potentieel een oudere versie van de software gebruiken en volledig in staat zijn om de kwetsbaarheid af te wenden.
Nu heeft Zoom op het probleem gereageerd en een update verzonden om het probleem op te lossen:
De patch van 9 juli voor de Zoom-app op Mac-apparaten die hieronder wordt beschreven, is nu live. Mogelijk ziet u een pop-up in Zoom om uw client bij te werken, deze te downloaden op zoom.us/download of te controleren op updates door uw Zoom-app-venster te openen, op zoom.us in de linkerbovenhoek van uw scherm te klikken en vervolgens te klikken Controleer op updates.
Het bedrijf heeft een volledige blogpost hierover, die, als u een Zoom-gebruiker bent, zeker de moeite waard is om te bekijken. Maar hier is een kort fragment, waar het bedrijf op wijst is mogelijk om de Zoom-client uit te schakelen van het automatisch activeren van de webcam bij deelname aan een videoconferentie:
Deze week publiceerde een onderzoeker een artikel waarin hij zich zorgen maakte over onze video-ervaring. Zijn zorg is dat als een aanvaller een Zoom-doelgebruiker kan misleiden door op een weblink naar de Zoom-ID van de aanvaller te klikken, de doelgebruiker onbewust aan de Zoom-vergadering van de aanvaller kan deelnemen. Als de gebruiker zijn Zoom-client niet heeft geconfigureerd om video uit te schakelen bij het deelnemen aan vergaderingen, kan de aanvaller mogelijk de videofeed van de gebruiker bekijken. Merk op dat er geen aanwijzingen zijn dat dit ooit is gebeurd.
In het licht van deze bezorgdheid hebben we besloten onze gebruikers nog meer controle over hun video-instellingen te geven. Als onderdeel van onze aanstaande juli 2019-release zal Zoom de videovoorkeur van de gebruiker vanaf zijn eerste Zoom-vergadering toepassen op en opslaan in alle toekomstige Zoom-vergaderingen. Gebruikers en systeembeheerders kunnen hun video-instellingen voor clients nog steeds configureren om video uit te schakelen wanneer ze deelnemen aan een vergadering. Deze wijziging is van toepassing op alle clientplatforms.
Als je nu nieuwsgierig bent en wilt controleren op de kwetsbaarheid van Zoom en hoe je deze wilt opruimen (en je vindt het niet erg om de Terminal-app te gebruiken), zijn de berichten van Glen Maddern op Twitter een goed begin:
OK… .
• Sleep de Zoom-app naar de prullenmand
Vervolgens in Terminal:
• lsof -i: 19421 (om de PID te krijgen)
• kill -9 [PID] (dit doodt de krab)
• rm -rf ~ / .zoomus (gtfo)
• raak ~ / .zoomus aan (en blijf weg)Heb ik iets gemist? https://t.co/UCGtaM3jdp
- Glen Maddern? (@glenmaddern) 9 juli 2019
Zoom is aangekondigd als een van de beste video-vergaderapps en -services die er zijn, maar dit is een enorme kwetsbaarheid. Toch is het mogelijk dat Zoom vrij snel terugkaatst - vooral als het zijn automatische updatemechanisme kan upgraden om er zeker van te zijn dat de nieuwe, gepatchte software op meer machines beschikbaar is.
Bent u een Zoom-gebruiker?