Si usa el software de videoconferencia Zoom en su computadora Mac, entonces tenga cuidado: cualquier sitio web que esté visitando en su navegador web puede encender la cámara de su dispositivo sin su permiso.
Irónicamente, incluso si alguna vez instaló el cliente Zoom en su dispositivo y simplemente lo desinstaló, un atacante remoto aún puede activar su cámara web.
Zoom es una de las plataformas de reuniones basadas en la nube más populares que brinda a los usuarios opciones para compartir video, audio y pantalla, lo que les permite organizar seminarios web, impartir cursos en línea, realizar capacitaciones en línea o unirse a reuniones virtuales en línea.
En una publicación de Medium publicada hoy, el investigador de seguridad cibernética Jonathan Leitschuh reveló detalles de una vulnerabilidad de seguridad crítica sin parchear (CVE-2019-13450) en la aplicación de cliente Zoom para computadoras Apple Mac, que si se combina con una falla separada, podría permitir a los atacantes ejecutar ataques arbitrarios. código en los sistemas de destino de forma remota.
Jonathan informó responsablemente la vulnerabilidad de seguridad a la empresa afectada hace más de 90 días, pero el equipo de Zoom no ofreció un parche de seguridad adecuado, lo que puso en riesgo la privacidad y la seguridad de sus más de 4 millones de usuarios.
La vulnerabilidad aprovecha la función de hacer clic para unirse del popular software de conferencias que ha sido diseñado para activar automáticamente la aplicación Zoom instalada en el sistema, lo que permite a los participantes unirse rápidamente a una videoconferencia a través de su navegador web tan pronto como hacen clic en una invitación. enlace, por ejemplo, https://zoom.us/j/492468757.
Jonathan descubrió que para ofrecer esta función, el software Zoom ejecuta un servidor web local en el sistema, en el puerto 19421, que recibe comandos de forma «insegura» a través de los parámetros HTTPS GET y cualquier sitio web en su navegador web abierto puede interactuar con él.
Para explotar esta vulnerabilidad, un atacante debe crear un enlace de invitación a través de su cuenta en el sitio web de Zoom e incrustarlo en un sitio web de un tercero como una etiqueta de imagen o usar un iFrame y simplemente invitar a los objetivos a visitar ese sitio web.
«Al habilitar ‘Participantes: Activado’ al configurar una reunión, descubrí que cualquiera que se uniera a mi reunión tenía su video conectado automáticamente», dijo Jonathan.
Tan pronto como los usuarios de Mac con el cliente Zoom instalado en su sistema visiten el sitio web malicioso, se iniciará con fuerza la aplicación Zoom y encenderá su cámara web, exponiéndolos a los atacantes.
«Esto podría estar incrustado en anuncios maliciosos, o podría usarse como parte de una campaña de phishing. Si yo fuera realmente un atacante, probablemente invertiría algo de tiempo para incluir también la lógica de puerto incremental que el código en el Javascript que se ejecuta en el sitio de Zoom”, dijo Jonathan.
Simplemente desinstalar el software no es suficiente para deshacerse de este problema, ya que Jonathan explicó que la función de hacer clic para unirse también acepta un comando que reinstala automáticamente Zoom sin la intervención o el permiso de los usuarios.
Además de encender la cámara web, también se puede abusar de la vulnerabilidad para atacar DoS a la computadora Mac objetivo simplemente enviando una gran cantidad de solicitudes GET repetidas al servidor local.
«Zoom terminó parcheando esta vulnerabilidad, pero todo lo que hizo fue evitar que el atacante encendiera la cámara de video del usuario», dijo Jonathan. «No deshabilitaron la capacidad de un atacante de unirse a la fuerza a una llamada de cualquier persona que visite un sitio malicioso».
La vulnerabilidad afecta a la última versión 4.4.4 de la aplicación Zoom para Mac.
Además de Zoom, Jonathan también reveló la vulnerabilidad a los equipos de Chromium y Mozilla, pero dado que el problema en realidad no reside en sus navegadores web, no hay mucho que estas empresas puedan hacer.
Sin embargo, la buena noticia es que los usuarios aún pueden solucionar este problema en sus extremos. Todo lo que necesita hacer es deshabilitar manualmente la configuración que permite que Zoom encienda automáticamente su cámara web cuando se une a una reunión.
Para esto, simplemente vaya a la ventana de configuración de Zoom y habilite la configuración «Apagar mi video al unirse a una reunión».
También puede ejecutar una serie de comandos de Terminal, que puede encontrar en la parte inferior de la publicación de Jonathan, para desinstalar el servidor web por completo.
Zoom respondió a los hallazgos del investigador
En un comunicado publicado más tarde hoy, la compañía reconoció el problema, pero también agregó que «debido a que la interfaz de usuario del cliente de Zoom se ejecuta en primer plano al iniciarse, sería evidente para el usuario que se había unido a una reunión sin querer y que podría cambiar». su configuración de video o salir de inmediato «.
Además de esto, la compañía dijo que «no tienen indicios» de si los problemas informados se explotaron para violar la privacidad de alguno de sus usuarios.
Zoom también reconoció otras preocupaciones relacionadas con su software y dijo que la vulnerabilidad de denegación de servicio local (DOS) informada por el investigador ya se solucionó en mayo de 2019, aunque la compañía dijo que no obligó a sus usuarios a actualizar porque es «empíricamente un vulnerabilidad de bajo riesgo».
La compañía también dijo que instala un servidor web de funcionalidad limitada cuando los usuarios instalan el cliente Zoom para ofrecer la función de un solo clic para unirse a las reuniones que podría evitar el clic adicional de los usuarios antes de unirse a cada reunión, pero no comentó por qué el servidor permanece. instalado en la máquina local incluso cuando un usuario elige desinstalar el software del cliente.