Recentemente foi descoberta uma vulnerabilidade grave na aplicação Zoom para macOS, popular app de videoconferências. A falha permite que qualquer website possa ativar a câmara do dispositivo e aceder remotamente às imagens e transmissão em direto da mesma, sem que o utilizador se aperceba imediatamente dessa recolha de dados.
De acordo com o investigador de segurança Jonathan Leitschuh, a falha permite que qualquer website “force” os utilizadores a entrarem numa chamada de vídeo com terceiros, ativando a câmara do sistema automaticamente e sem permissão dos utilizadores finais.
Tudo o que o utilizador necessita de fazer é aceder a um website comprometido para que possa, sem o querer, iniciar uma videochamada com terceiros através da aplicação.
Zoom é uma das aplicações mais populares para videoconferências dentro do sistema macOS, sendo que conta atualmente com mais de 4 milhões de utilizadores ativos. Com isto, qualquer falha na aplicação possui espaço para afetar um largo número de utilizadores e sobretudo de empresas – tendo em conta que esta aplicação é bastante popular também no meio empresarial.
Quando um utilizador entra num site modificado para explorar a falha, é possível iniciar-se uma conversa de vídeo automaticamente com terceiros sem que seja requerida qualquer permissão. A piorar isso, esta vulnerabilidade permanece ativa mesmo que o Zoom seja desinstalado do sistema.
Isto acontece porque a aplicação instala também um webserver local, utilizado para redirecionar todos os pedidos que sejam feitos à app principal. No entanto, mesmo que a aplicação seja removida pelo utilizador, o webserver ainda permanece no sistema, e pode ser reativado para permitir a realização de chamadas de vídeo.
Ou seja, a partir do momento em que instala o Zoom no seu sistema, este encontra-se potencialmente vulnerável a ser aproveitado por esta falha. Tudo o que os utilizadores maliciosos necessitam de fazer é criar um link de convite para uma conferencia, distribuírem o mesmo sobre websites maliciosos e recolherem as imagens das câmaras dos utilizadores sem que estes se apercebam que estão a ser gravados.
Os criadores da aplicação terão sido informados desta vulnerabilidade no dia 26 de Março, sendo que realizaram a correção em apenas 18 dias seguintes. No entanto, durante o dia de ontem, a falha voltou a ser reativada na versão mais recente.
Em causa encontra-se o facto que os criadores do Zoom não corrigiram corretamente a falha, mas sim apenas impediram que, com a realização de um pedido de conferencia, a câmara não fosse automaticamente ativada. Isto não será uma correção total para o problema, visto que os utilizadores ainda podem ser atraídos para falsas chamadas pela exploração dos links de convite.
Em comunicado, a empresa responsável pelo Zoom afirma que o servidor local instalado pela aplicação é utilizado para reduzir o trabalho dos utilizadores em entrarem numa sessão, além de permitir o acesso a conversas mesmo que a app não esteja instalada.
A empresa promete algumas alterações para breve, onde será possível impedir a reprodução automática de da câmara quando se entra numa sessão. No entanto isto continua a não corrigir a falha na sua base, sendo que esta ainda permanece.
Nenhum comentário
Seja o primeiro!