Zoom, una nota app per videoconferenze, ha permesso a siti Web di accedere alla webcam del Mac ad insaputa degli utenti. A rivelare la notizia è stato Jonathan Leitschuh, esperto in sicurezza informatica, dopo aver individuato una falla che è stata da lui chiama “zero day”, proprio perché non ancora nota allo sviluppatore.
Zoom, disponibile come app sia per i dispositivi Apple (e dunque Mac, iPhone e iPad) che per gli smartphone Android, ha consentito ad un utente di accedere ad una videoconferenza in corso, senza ricevere dapprima il permesso da chi ha organizzato la call, riuscendo quindi a spiare i partecipanti. Jonathan ha riferito che ciò sarebbe successo anche se l’app è stata rimossa dal Mac, questo perché una volta installato il client Zoom, viene attivato un Web server in background che permetterebbe all’utente un più rapido collegamento in caso di chiamata.
Zoom, una vulnerabilità ha permesso a siti Web di spiare gli utenti. Problema risolto?
La falla avrebbe messo a rischio la Privacy e la sicurezza degli oltre quattro milioni di utenti che hanno installato sul proprio Mac il client Zoom.
This is my #ZeroDay #PublicDisclosure of a security vulnerability impacting 4+ Million of @zoom_us's users who have the Zoom Client installed on Mac.
Zoom had 90-days + two weeks to resolve this #vulnerability and failed to do so.https://t.co/hvsoS79bos
— Jonathan Leitschuh – JLLeitschuh@infosec.exchange (@JLLeitschuh) July 8, 2019
L’azienda sembra aver però risolto il problema rilasciando un update che non solo elimina la vulnerabilità, ma permette anche di eliminare completamente il client Zoom una volta che l’app viene disinstallata dal dispositivo. Com’è stato detto in precedenza, infatti, i siti Web sarebbero riusciti ad accedere anche alle webcam degli utenti che hanno rimosso l’app Zoom dal proprio Mac, poiché il Web server restava attivo in background. L’esperto in sicurezza informatica rivela, però, che vulnerabilità del genere avrebbero intaccato anche altre piattaforme di videoconferenza come RingCentral e BlueJeans.
