Hopp til navigasjon Hopp til innhold
Zoom-appen viser seg å ikke være spesielt sikker på Mac. (Ill.: Zoom )

Har du denne Mac-appen? Da bør du dekke til webkameraet

Kritisk feil oppdaget i populær app.

En svart teipbit kan brukes til å mangt, blant annet til å dekke over webkameraet på datamaskinen. Å gjøre det er slett ikke en paranoid handling i 2019. Det har vært nok av historier om hackere som har skaffet seg tilgang til intetanende brukeres kameraer.

Et nytt sikkerhetshull i konferanse-appen Zoom på Mac er nok et eksempel.

Kjøres på en lokal server

Det er oppdaget en feil i Mac-klienten som gjør det mulig for nettsider å bli med i videosamtaler så lenge den besøkende har Mac-appen installert.

Det var sikkerhetseksperten Jonathan Leithschuh som oppdaget sårbarheten.

Leitschuh hevder at dette delvis skyldes at Zoom både oppretter og kjører en lokal server som en bakgrunnsprosess på vertens maskin.

zoom-security
Det anbefales å ikke dele video med Zoom på Mac.

Skylder på Safari 12

Zoom har overfor ZDNet avslørt at dette blir gjort som følge av en endring som kom i Safari 12. Selskapet forsvarer løsningen og kaller det en «workaround».

– Dette er en legitim løsning på en dårlig brukeropplevelse. Dette lar våre brukere ha sømløse, ett-klikk-baserte møter. Det er nettopp dette som skiller Zoom fra andre produkter.

Leithschuh er ikke imponert. Han oppdaget feilen i mars, og ga Zoom 90 dager på å rette feilen. Sikkerhetseksperten mener selskapet ikke har gjort nok for å sikre brukernes privatliv.

– Zoom endte opp med å patche denne sårbarheten, men alt de gjorde var å forhindre angriperen fra å skru på brukerens videokamera. De skrudde ikke av muligheten for en angriper til å på tvungent vis delta i en samtale når noen besøker en nettside med skadevare, skriver Leitschuh i et blogginnlegg på Medium.

Selv om du sletter Zoom-appen vil den lokale serveren fortsatt bestå, og appen kan rett og slett installere seg selv på nytt, hvis den vil.

– Utrolig risikabelt

Zoom-brukere på Mac rådes nå til å skru av videofunksjonen under samtaler, med mindre det er ytterst nødvendig å bruke den.

– Å ha en installert app som kjører en server på min lokale maskin med fullstendig udokumentert API føles utrolig risikabelt ut, spør du meg. Det faktum at enhver nettside jeg besøker kan samhandle med denne serveren som kjører på maskinen min reiser et stort rødt flagg for meg som en sikkerhetsforsker, skriver Leitschuh.

Det virker heller ikke som at Zoom har store planer om å endre hvordan Mac-appen fungerer. Overfor The Verge og ZDNet sier selskapet at de vil introdusere en liten endring i juli. Da vil Mac-appen lagre innstillingen dersom brukeren velger å skru av automatisk videodeling. Foruten det ser Zoom ut til å fortsette som før.


Kilde:
ZDNet

Stikkord: app, hacking, ma, mac, zoom