Elke Mac met de Zoom-teleconferentie-app kan nu worden bespioneerd. Ja, het is een slechte dag voor de beveiliging van Apple, aangezien kwaadaardige websites kunnen worden gecodeerd om op afstand een videoconferentiegesprek op uw Mac te starten - en de aanval kan zelfs via e-mail worden verzonden.
Dit nieuws, onthuld door beveiligingsonderzoeker Jonathan Leitschuh, laat zien dat zelfs Macs waarop Zoom niet meer is geïnstalleerd - maar ooit wel - kwetsbaar zijn. Het goede nieuws is echter dat er oplossingen zijn (een is echter serieus moeilijk), en Zoom lijkt het allemaal snel te repareren.
wat nu te doen
De oplossing, dankzij Zoom die van standpunt verandert, lijkt net zo eenvoudig te zijn als het accepteren van Zoom-updates zodra ze binnenkomen. In een update van Zoom's grote blogpost over de fout, verklaarde het bedrijf dat een patch vanavond (9 juli) om of vóór 3 uur EST/middernacht PST de dingen zal oplossen. Gebruikers zullen worden gevraagd om de app bij te werken en dat zodra de update is voltooid, "de lokale webserver volledig wordt verwijderd op dat apparaat".
De update zou ook de verwijderingsprocedure verbeteren. In het bericht van Zoom staat: "We voegen een nieuwe optie toe aan de Zoom-menubalk waarmee gebruikers de Zoom-client, inclusief de lokale webserver, handmatig en volledig kunnen verwijderen."
We zijn benieuwd of Jonathan Leitschuh en andere beveiligingsonderzoekers vinden dat Zoom grondig en correct werk verricht.
Om je Mac te beschermen, open je Instellingen voor zoom - klik op Zoomen in de menubalk en klik vervolgens op Instellingen - en open het gedeelte Video. Vink vervolgens het vakje aan naast 'Mijn video uitschakelen bij deelname aan een vergadering'.
In zijn post deelde Leitschuh ook code voor gebruik in de Terminal. Die instructies worden een beetje ingewikkeld en zijn het beste voor de supertechnisch onderlegde gebruikers die er de voorkeur aan geven. Die tips zijn gemaakt om de webserver die Zoom op de Mac maakt uit te roeien.
Hoe het werkt
Ja, dit is allemaal mogelijk omdat Zoom in het geheim een webserver op Macs installeert, een die verzoeken ontvangt en accepteert die uw webbrowsers niet zouden doen. Leitschuh legde uit dat hij probeerde met Zoom samen te werken en afgelopen maart contact opnam met het bedrijf, maar dat zijn "oplossingen niet voldoende waren om hun gebruikers volledig te beschermen".
Zoals ik eerder al zei, zijn zelfs die gebruikers die Zoom van hun Mac hebben verwijderd, kwetsbaar. Leitschuh legt uit dat de door Zoom geïnstalleerde webserver achterblijft, zelfs nadat je het programma hebt verwijderd, en dat de server op afstand kan worden geactiveerd om de nieuwste versie van Zoom bij te werken en automatisch te installeren.
Oh, en een slachtoffer hoeft niet eens te worden misleid om een webpagina te openen. Ten eerste plaatste Vimeo-gebruiker 'fun jon' videobewijs dat je deze fout via e-mail kunt aanvallen, en het doelwit hoeft het bericht niet eens te openen. Ze hoeven alleen een e-mailclient-app te gebruiken die het kwaadwillig gecodeerde bericht downloadt.
Nadat Leitschuh ruzie had gemaakt met Zoom en beweerde het bedrijf te hebben verteld dat "een host toestaan te kiezen of een deelnemer automatisch deelneemt aan video" een "op zichzelf staande beveiligingskwetsbaarheid" is, was het bedrijf het daar niet mee eens en positioneerde het zijn beslissing als pro-gebruiker: "Zoom gelooft in het geven van de macht aan onze klanten om te kiezen hoe ze willen Zoomen."
Wil je het zelf zien?
Als je ooit Zoom op je machine hebt gehad, kun je dit zelf zien.
Zoek in Leitschuh's blogpost naar de zin "zoom_vulnerability_poc/" - want dat is de link naar zijn proof of concept, dat een Zoom-oproep lanceert. De eerste is een versie met alleen audio; de tweede link, die 'iframe' in de URL bevat, start een gesprek met video actief.
Deze Zoom-kwetsbaarheid is bananen. Ik probeerde een van de proof-of-concept-links en kwam in contact met drie andere rando's die er ook in realtime dol op waren. https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf - Matt Haughey (@mathowie) 9,2022-2023 juli
Dit artikel verscheen oorspronkelijk op Tom's Guide.
- macOS Catalina Beta Review
- Ik gebruikte een muis met iPadOS en zo werkt het
- iPadOS Beta Review