Une faille de sécurité du zoom pourrait permettre aux sites Web d'activer la webcam de votre Mac sans autorisation

Une vulnérabilité sérieuse au jour zéro a été divulguée dans l'application de vidéoconférence Zoom sur Mac.

Le chercheur en sécurité Jonathan Leitschuh, dans un poste moyen a détaillé la faille pourrait laisser des sites Web pirater l'appareil photo de votre Mac et vous «forcer» à vous rejoindre à un appel de Zoom sans votre permission

Environ quatre millions d'utilisateurs de Zoom utilisent un Mac

Voici comment cette vulnérabilité fonctionne. Zoom offre aux utilisateurs un moyen simple de participer à des appels de vidéoconférence en tapant simplement sur un lien – quelque chose comme https://zoom.us/j/999999999, où '999999999' est un ID de réunion aléatoire à 9 chiffres qui expire à la fin de la réunion.

Cette vulnérabilité de Zoom concerne les bananes. J'ai essayé l'un des liens de validation technique et je me suis connecté à trois autres randos qui en ont aussi peur en temps réel. https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf

– Matt Haughey (@mathowie) Le 9 juillet 2019

Cela garantit une longue durée Comme l'application Zoom s'exécute en arrière-plan, si vous ouvrez le lien de réunion sur votre navigateur, le client Zoom est automatiquement lancé sur votre Mac.

Leitschuh a découvert que cette fonctionnalité n'était pas implémentée de manière sécurisée. Un utilisateur peut non seulement rejoindre automatiquement une téléconférence Zoom en cliquant simplement sur le lien de la réunion avec la caméra vidéo activée, cela se produit même si l'application Zoom n'est plus installée.

C'est parce que vous installez Zoom. app, il installe également un serveur Web localement pour accepter les demandes de réunion. La partie troublante ici est que, après la désinstallation de l'application, le serveur persiste et peut réinstaller Zoom sans votre intervention.

Ne négligeons pas la racine du problème ici: Zoom a conçu son application de sorte que la personne qui contrôlait la réunion décide si votre vidéo la caméra est allumée, PAS VOUS.
Cela a été fait exprès par leurs concepteurs de produits.

– PlaneOnSecurity (@SwiftOnSecurity) le 9 juillet 2019

Cela signifie effectivement si vous avez déjà installé l'application , en cliquant sur un lien de réunion vous rejoindra automatiquement à l'appel avec votre caméra allumée. La caméra peut toutefois être désactivée si vous avez coché l'option «Éteindre ma vidéo lorsque je participe à une réunion».

Leitschuh avait initialement révélé la faille le 26 mars 2019, mais il a mentionné la première réunion sur la la vulnérabilité serait corrigée survenue le 11 juin 2019, 18 jours seulement avant la fin du délai de divulgation publique de 90 jours.

Heads up @zoom_us :
La solution à la vulnérabilité en matière de sécurité environ 4 millions de vos utilisateurs ont régressé.
Le délai de divulgation publique de 90 jours était le 24 juin.
Je vais rendre public demain.
C'est inacceptable.

– Jonathan Leitschuh (@JLLeitschuh) 7 juillet 2019

La chronologie de l'article de Medium montre que Zoom a corrigé la vulnérabilité le 21 juin. Mais une régression plus tôt ce mois-ci a provoqué la réapparition du bogue, ce qui a poussé Zoom à résoudre le problème hier.

“Zoom a finalement corrigé cette vulnérabilité, mais tout ce qu’ils ont fait a été empêcher l’attaquant d’allumer la caméra vidéo de l’utilisateur. Ils n'ont pas empêché un attaquant de se joindre de force à un appel lorsque quiconque visitait un site malveillant ", a écrit Leitschuh.

L'idée selon laquelle tout site Web que vous pourrez visiter à partir de Mac peut activer votre caméra vidéo via un zoom non autorisé. Appeler par défaut est alarmant. Zoom a répondu qu'il ne voyait pas «vidéo activée par défaut comme une faille de sécurité» et qu'il permettait aux utilisateurs de définir leurs propres préférences vidéo .

Zoom a également déclaré avoir développé le serveur Web local comme solution de contournement des modifications apportées dans le navigateur Apple Safari, invitant les utilisateurs de Zoom à confirmer s'ils souhaitaient lancer l'application chaque fois qu'ils cliquaient sur un lien de réunion. "Le serveur Web local accepte automatiquement l'accès périphérique de la part de l'utilisateur pour éviter ce clic supplémentaire avant de rejoindre une réunion", a déclaré la société .

– rendu public plus tôt en avril – projette de déployer une mise à jour ce mois-ci qui permettra aux préférences des utilisateurs et des administrateurs de ne pas activer / désactiver la vidéo dès leur première participation à un appel. Mais les utilisateurs qui choisissent de garder l'option vidéo continueront à être exposés à des tiers malveillants, car la société ne cherche pas à modifier fondamentalement le comportement de l'application sur les Mac.

Il vous incombera d'éteindre votre appareil photo. par défaut.

Il est clair que Zoom a un problème difficile à résoudre en ce qui concerne les utilisateurs de Mac – mais il ne fait clairement aucun bon travail pour les protéger des appels non sollicités, car de mauvais acteurs pourraient les duper en cliquant sur les liens et en activant leurs flux vidéo.

La société ferait bien de penser à un meilleur moyen de résoudre ce problème que de laisser aux utilisateurs le soin d'empêcher que cela se produise.