I går kunne vi skrive at Mac-versjonen av videokonferanse-appen Zoom inneholder en alvorlig sårbarhet.
Denne sårbarheten har gjort det mulig for personer å tvinge seg med i videosamtaler og potensielt overvåke intetanende brukere gjennom et webkamera. Det hele var mulig fordi Zoom opprettet en lokal server som kjørte som en bakgrunnsprosess på Mac-en.
Nettsider med skadevare kunne utnytte denne prosessen for å starte en direkte videostrøm fra brukerens webkamera.
Presset til endring
Nå har Zoom lansert en hastefiks som tetter sikkerhetshullet. Og det må sies å være noe overraskende; Zoom viste nemlig ingen tegn til at de hadde forstått alvoret i saken da de uttalte seg til ZDNet tidligere denne uken.
Annonse
– Dette er en legitim løsning på en dårlig brukeropplevelse. Dette lar våre brukere ha sømløse, ett-klikk-baserte møter. Det er nettopp dette som skiller Zoom fra andre produkter, uttalte selskapet overfor nettstedet.
Server fjernes etter oppdatering
Zoom har publisert et blogginnlegg med detaljert informasjon om feilrettingen som nå er lansert. Selskapet fjerner den lokale serveren som opprettes når Zoom installeres – en server som fortsatte å kjøre i bakgrunnen selv om man avinstallerte appen.
«Oppdateringen vil fjerne den lokale webserveren fullstendig med en gang Zoom-klienten har blitt oppdatert», skriver Zoom i blogginnlegget.
[Update] The July 9 patch to the Zoom app on Mac devices detailed earlier on our blog is now live. Details on the various fixes contained within it are explained, as well as how to update the Zoom software. See blog post here: https://t.co/56yDgoZf1U
— Zoom (@zoom_us) 9. juli 2019
Står for valget
I et intervju med The Verge utdyper en talsperson for Zoom hvorfor de valgte å fjerne denne serveren.
– Til syvende og sist er det basert på tilbakemeldingen fra folk som har fulgt og bidratt til denne diskusjonen. Vår originale posisjon var at installeringen av denne serveren gjorde det mulig for brukere å bli med i møter uten å måtte gjøre ekstra klikk. Vi mener det var en riktig avgjørelse. Og det var et ønske fra noen av våre brukere, sier sjef for informasjonssikkerhet i Zoom, Richard Farley, til The Verge.
Mener sikkerhetsekspert overdrev
Farley legger imidlertid til at de også respekterer alle som har et annet syn på saken.
– Derfor tok vi avgjørelsen om å fjerne den komponenten, selv om det medfører at det kreves et ekstra klikk fra Safari, sier han.
Zoom hevder fortsatt at den lokale serveren var sikker. Selskapet mener også at Jonathan Leitschuh, som oppdaget sårbarheten, overdrev sikkerhetsrisikoen kraftig.
Kilde:
The Verge / Zoom
Annonse
