Senza che l’utente se ne accorga e senza il suo consenso, una vulnerabilità in Zoom per Mac permette a siti web malevoli di attivare la webcam del Mac, di fatto forzando una video chiamata a insaputa dell’utente.
Questo persino se l’app Zoom per Mac è già stata rimossa dal computer. Un problema che interessa migliaia di persone e aziende perché Zoom è una piattaforma di video conferenze, con app per Mac, iPhone e iPad, piuttosto diffusa e impiegata per riunioni di lavoro, comunicazioni, corsi online, presentazioni e così via.
La vulnerabilità zero day, cioè non espressamente nota allo sviluppatore e immediatamente sfruttabile tramite exploit, è stata scoperta e segnalata dal ricercatore specializzato in sicurezza informatica Jonathn Leitschuh. La vulnerabilità è possibile perché quando viene installato il client Zoom per Mac, viene anche installato e attivato un web server come processo in background.
Questo processo è stato inserito dagli sviluppatori per rendere l’uso di Zoom più semplice e immediato per gli utenti, anche quando la piattaforma di video conferenze viene usata tramite Safari, o altri siti web come Chrome o Firefox. Sfruttando il web server in esecuzione in background sul Mac, l’utente del computer può essere sempre facilmente raggiunto da una video chiamata in ingresso, lanciare una chiamata e ricevere eventuali aggiornamenti.
La vulnerabilità di Zoom per Mac permette così a malintenzionati di creare siti web ad hoc, in cui basta un solo click da parte dell’utente per attivare a sua insaputa una chiamata, con tanto di webcam attivata. Ma questo non è l’unico problema perché il web server locale installato e attivato quando viene installata l’app, rimane presente e sempre attivo sul computer dell’utente anche quando viene disinstallata e rimossa l’app principale. In alcuni esempi di attacchi è anche possibile fare in modo che l’app Zoom per Mac venga re-installata a insaputa dell’utente.
A peggiorare le cose, il ricercatore di sicurezza segnala che Zoom non è dotato di un sistema di auto aggiornamento efficace, così spetta agli utenti effettuarlo manualmente. Lo sviluppatore, che è stato informato del problema a marzo, ha rilasciato un update, ma secondo il ricercatore è ancora possibile sfruttare questa vulnerabilità con altri sistemi e tecniche di attacco.
Per il momento gli utenti hanno a disposizione due soluzioni fai da te, indicate nei dettagli su Medium. La prima è disabilitare manualmente l’attivazione automatica della webcam del Mac quando si accede per la prima volta a una video conferenza, questo tramite le impostazioni dell’app. La seconda soluzione è quella di rimuovere non solo l’app ma anche il web server tramite una serie di comandi da Terminale.
Tutti gli articoli di macitynet su vulnersabilità Mac e sicurezza informatica sono disponibili a partire da questa pagina.
