Zoom-kwetsbaarheid laat websites inbreken op Mac-camera’s

De video conferencing-app Zoom bevat een beveiligingsfout waardoor websites een camera op een Mac kunnen overnemen. De fout werd ontdekt door beveiligingsonderzoeker Jonathan Leitschuh.

De Zoom-app blijkt een web server op Macs te installeren die verzoeken accepteert die niet door reguliere browsers geaccepteerd worden. Wordt Zoom gedeïnstalleerd, dan blijft die web server aanwezig. Zoom kan zelfs opnieuw worden geïnstalleerd zonder dat een gebruiker hier iets voor hoeft te doen.

Automatisch aan videogesprek toegevoegd

Leitschuh heeft een demo gedeeld van de kwetsbaarheid. The Verge heeft die demo zelf uitgeprobeerd en bevestigd dat het inderdaad werkt.

Om de kwetsbaarheid in te zetten, hoeft een kwaadwillende een gebruiker die Zoom ooit geïnstalleerd heeft gehad en een bepaald vinkje in de instellingen niet heeft aangezet, zo ver te krijgen om op een link te klikken. Vervolgens wordt de gebruiker automatisch toegevoegd aan een videogesprek en gaat de camera automatisch aan.

De automatisch geïnstalleerde web server heeft mogelijk nog grotere gevolgen. Een oudere versie van Zoom – die inmiddels gepitcht is – maakte het bijvoorbeeld mogelijk om een DoS-aanval uit te voeren op een Mac-computer, door constant de web server te pingen.

Melding gemaakt

Leitschuh stelt zelf dat hij de kwetsbaarheid in maart bij Zoom heeft gemeld. Hij gaf het bedrijf negentig dagen om het probleem op te lossen, voor hij het publiekelijk maakte. Volgens de beveiligingsonderzoeker heeft Zoom het probleem niet opgelost.

Zoom zegt tegenover The Verge dat het de lokale web server ontwikkelde om ervoor te zorgen dat gebruikers minder hoeven te klikken. Dit deden ze omdat Apple Safari zo aanpaste dat Zoom-gebruikers iedere keer moeten bevestigen dat ze de app wilde opstarten.

Volgens het bedrijf zelf is de web server een “legitieme oplossing voor een slechte gebruikerservaring, waardoor onze gebruikers naadloze, one-click-to-join vergaderingen krijgen, wat het belangrijkste element is waarmee we ons onderscheiden”.

Oplossing

Zoom zegt dat het de app vanaf deze maand wel een kleine aanpassing meegeeft. De voorkeuren van gebruikers en administrators over of de camera automatisch aangaat of niet als ze zich bij een gesprek voegen, worden voortaan opgeslagen.

Voor gebruikers is de enige oplossing dan ook om de instelling waarmee de camera automatisch aangaat uit te schakelen. Ook wordt aangeraden om de laatste versie van de app te downloaden.