Si tienes una Mac y alguna vez has utilizado la videoconferencia de Zoom , es posible que tenga un problema.

El lunes, el investigador de seguridad Jonathan Leitschuh reveló públicamente una vulnerabilidad en el programa de videoconferencia Zoom que aparentemente permitiría que alguien encienda la cámara web de tu Mac y te obligue a unirte a una llamada de Zoom sin tu permiso. En una publicación, Leitschuh dijo que inicialmente reveló la vulnerabilidad a Zoom el 26 de marzo de 2019, pero la compañía aún no ha podido resolverla más allá de una solución inicial que había sugerido por primera vez.

Aquí está, básicamente, lo que Leitschuh descubrió:

Esta vulnerabilidad permite que cualquier sitio web se una a un usuario en una llamada de Zoom, con su cámara de video activada, sin el permiso del usuario.

Peor aún, si alguna vez instalaste el cliente de Zoom y luego lo desinstalaste, aún tienes un servidor web localhost en tu máquina que felizmente volverá a instalar el cliente de Zoom de manera autónoma, sin requerir ninguna interacción de tu parte. Esta "característica" de reinstalación sigue funcionando hasta el día de hoy.

En otras palabras, si tienes Zoom instalado en tu Mac, o si alguna vez lo tuviste, un sitio web podría espiarte o emprender un ataque de denegación de servicio (DoS). Como lo explica The Verge , la aplicación Zoom "instala un servidor web en Mac que acepta solicitudes de navegadores normales".

El lunes, la gente comenzó a probar la vulnerabilidad ... y funcionó.

Leitschuh dijo que cuando inicialmente identificó la vulnerabilidad, Zoom se defendió al insinuar que la idea era que los clientes pudieran elegir unirse a una reunión con su micrófono y el video habilitado automáticamente. Según Leitschuh, Zoom intentó corregir la vulnerabilidad al evitar que un atacante encienda una cámara de video, pero pudo descubrir soluciones alternativas que le permitirían a un atacante forzar a una persona a unirse a una llamada y activar su cámara web.

Este es un gran problema que podría dejar expuestos hasta 750,000 compañías y a los millones de personas que usan Zoom.

En respuesta a una solicitud de comentarios, Zoom minimizó la gravedad de la vulnerabilidad. Dijo que sería "evidente" para un usuario si se uniera involuntariamente a una reunión de Zoom, porque aparecería en su pantalla, y que "no hay indicios" de que los ataques hayan ocurrido realmente. Dijo que el equipo de seguridad de Zoom determinó que los problemas eran de "bajo riesgo".

"Esta vulnerabilidad de Zoom es especialmente preocupante y francamente espeluznante porque no requiere que un usuario esté en una llamada de Zoom"

Qué hacer con Zoom?

Como Zoom no ha abordado completamente la vulnerabilidad en su software, Leitschuh describió cómo parcharlo tú mismo. Básicamente, puedes desactivar por defecto la capacidad de Zoom para encender tu cámara web cuando se une a una reunión.

En la versión actual de Zoom, puedes agregar lo anterior si va a Configuración / Preferencias> Video> Reuniones> Desactivar mi video al unirse a una reunión .

Aún no está claro cómo afectará esta vulnerabilidad a su negocio en general, aunque el precio de las acciones de la compañía cayó aproximadamente un 1 por ciento el martes.



Fuentes:

https://www.wired.com/story/zoom-bug-webcam-hackers/
https://mashable.com/video/researcher-finds-zoom-security-flaw/
https://www.vox.com/recode/2019/7/9/20687689/zoom-mac-vulnerability-medium-jonathan-leitschuh-camera