En svart teipbit kan brukes til å mangt, blant annet til å dekke over webkameraet på datamaskinen. Å gjøre det er slett ikke en paranoid handling i 2019. Det har vært nok av historier om hackere som har skaffet seg tilgang til intetanende brukeres kameraer.
Et nytt sikkerhetshull i konferanse-appen Zoom på Mac er nok et eksempel.
Kjøres på en lokal server
Det er oppdaget en feil i Mac-klienten som gjør det mulig for nettsider å bli med i videosamtaler så lenge den besøkende har Mac-appen installert.
Det var sikkerhetseksperten Jonathan Leithschuh som oppdaget sårbarheten.
Annonse
Leitschuh hevder at dette delvis skyldes at Zoom både oppretter og kjører en lokal server som en bakgrunnsprosess på vertens maskin.
Skylder på Safari 12
Zoom har overfor ZDNet avslørt at dette blir gjort som følge av en endring som kom i Safari 12. Selskapet forsvarer løsningen og kaller det en «workaround».
– Dette er en legitim løsning på en dårlig brukeropplevelse. Dette lar våre brukere ha sømløse, ett-klikk-baserte møter. Det er nettopp dette som skiller Zoom fra andre produkter.
Leithschuh er ikke imponert. Han oppdaget feilen i mars, og ga Zoom 90 dager på å rette feilen. Sikkerhetseksperten mener selskapet ikke har gjort nok for å sikre brukernes privatliv.
– Zoom endte opp med å patche denne sårbarheten, men alt de gjorde var å forhindre angriperen fra å skru på brukerens videokamera. De skrudde ikke av muligheten for en angriper til å på tvungent vis delta i en samtale når noen besøker en nettside med skadevare, skriver Leitschuh i et blogginnlegg på Medium.
Selv om du sletter Zoom-appen vil den lokale serveren fortsatt bestå, og appen kan rett og slett installere seg selv på nytt, hvis den vil.
This Zoom vulnerability is bananas. I tried one of the proof of concept links and got connected to three other randos also freaking out about it in real time. https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf
— Matt Haughey (@mathowie) 9. juli 2019
– Utrolig risikabelt
Zoom-brukere på Mac rådes nå til å skru av videofunksjonen under samtaler, med mindre det er ytterst nødvendig å bruke den.
– Å ha en installert app som kjører en server på min lokale maskin med fullstendig udokumentert API føles utrolig risikabelt ut, spør du meg. Det faktum at enhver nettside jeg besøker kan samhandle med denne serveren som kjører på maskinen min reiser et stort rødt flagg for meg som en sikkerhetsforsker, skriver Leitschuh.
Det virker heller ikke som at Zoom har store planer om å endre hvordan Mac-appen fungerer. Overfor The Verge og ZDNet sier selskapet at de vil introdusere en liten endring i juli. Da vil Mac-appen lagre innstillingen dersom brukeren velger å skru av automatisk videodeling. Foruten det ser Zoom ut til å fortsette som før.
Kilde:
ZDNet
Annonse