L’app per videoconferenze Zoom per Mac ha un difettuccio. Una cosa da nulla: se l’avete installata, come hanno fatto circa 750.000 aziende nel mondo, permette a perfetti sconosciuti di accendere la webcam del vostro Mac quando vogliono e quindi cogliervi in un momento inopportuno oppure spiare e origliare. È sufficiente visitare un sito Web appositamente confezionato oppure cliccare su un link (tipo https://zoom.us/j/492468757) in un messaggio.
Il difettuccio è stato segnalato dal ricercatore Jonathan Leitschuh: a quanto pare l’azienda produttrice dell’app ha preso alla lettera il proprio slogan e ha reso un po’ troppo instant lo sharing. Il ricercatore ha anche preparato una pagina di test.
This Zoom vulnerability is bananas. I tried one of the proof of concept links and got connected to three other randos also freaking out about it in real time. https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf— Matt Haughey (@mathowie) July 9, 2019
Non è finita: l’app installa sul Mac un server Web che accetta connessioni da altri dispositivi della stessa rete locale, e questo server continua a funzionare anche se si disinstalla Zoom. Un aggressore che stia sulla stessa rete locale (che può essere anche molto grande e popolata da sconosciuti, per esempio in un albergo) può usare questo server per forzare la reinstallazione dell’app e ricominciare a sbirciare a sorpresa gli altri utenti.
L’azienda ha promesso che distribuirà entro questo mese un aggiornamento correttivo. Non è l’unica ad avere questi problemi: è stata segnalata anche Bluejeans.
La cosa interessante, infatti, è che questa vulnerabilità è stata introdotta per evitare agli utenti di dover fare un clic in più.
Apple ha diffuso un aggiornamento silenzioso automatico di macOS che rimuove il server Web nascosto di Zoom, anche se gli utenti hanno disinstallato Zoom o non l’hanno aggiornato.
A questo punto quelli con il tappino adesivo davanti alla webcam non sembrano più così paranoici. Sì, io sono uno di loro.
Fonti: Ars Technica, Engadget, Graham Cluley.
Nessun commento:
Posta un commento