Apple ha rilasciato due aggiornamenti di sicurezza per macOS con i quali sono rimossi automaticamente i componenti vulnerabili installati automaticamente da RingCentral e Zhumu. Si tratta di varianti dell’applicazione di videoconferneza Zoom che, al pari dell’originale, installano un server locale per bypassare alcuni meccanismi di sicurezza intriseci del sistema.
Dopo che è stata ufficialmente resa nota la vulnerabilità dell’applicazione Zoom, Apple ha rilasciato un aggiornamento silenzioso di macOS per rimuovere in automatico il web server. The Verge riferisce ora che un aggiornamento simile consente di rimuovere il web server installato da applicazioni simili a Zoom; l’update è installato automaticamente e non richiede l’intervento dell’utente.
Come abbiamo già spiegato qui, una vulnerabilità nel web-server di queste applicazioni permetteva potenzialmente a un malintenzionato di attivare la webcam degli utenti Mac e spiarli. L’inconveniente ha a che fare con il web server installato in locale (porta 19421), un trucco che permette di aggirare varie limitazioni dei browser e che può essere sfruttato per accedere alla videocamera di un computer e spiare chi si trova di fronte, senza destare alcun sospetto, grazie a link creati ad hoc.
L’uso di un web server in abbinamento a queste app di videoconferenza è necessario perché da tempo i browser moderni impediscono l’uso dei plug-in NPAPI, permette solo l’uso dei cosiddetti plugin PPAPI. I componenti aggiuntivi vengono in questo modo caricati ed eseguiti in un processo separato dal browser stesso e consentono di avere maggiori garanzie dal punto di vista della sicurezza.
Di per sé, l’esecuzione di un server locale su un Mac non è un problema ma potrebbero essere fonte di problemi se questi sono sfruttati per aggirare legittimi meccanismi di sicurezza dei browser.