Zoom è un software diffuso in ambito professionale per videochiamate e videoconferenze. A fine marzo, il ricercatore Jonathan Leitschuh ha individuato una vulnerabilità concedendo – come da prassi – 90 giorni agli sviluppatori per porre rimedio al problema.
L’inconveniente ha a che fare con il web server installato in locale (porta 19421), un trucco che permette di aggirare varie limitazioni dei browser e che può essere sfruttato per accedere alla videocamera di un computer e spiare chi si trova di fronte, senza destare alcun sospetto, grazie a link creati ad hoc.
Un update rilasciato nella notte disabilita completamente il web server installato in locale per macOS. Questo web server non era eliminato, anche se l’utente cancellava il software client. Con l’ultimo aggiornamento, il web server è disattivato e ora è offerta una funziona che consente di disinstallare Zoom completamente, comprese le varie risorse e il web server.
Tutto bene ciò che finisce bene ma le polemiche intorno ad app di questo tipo non sono finite e pare che anche altre app sfruttino il meccanismo del web server per aggirare limiti intrinseci dei browser. È una pratica abbastanza diffusa, rivela il ricercatore Kevin Beaumon che, su Twitter, elenca altre app di videoconferenza che hanno sfruttano lo stesso “trucco”, citando ad esempio nt RingCentral, identica a Zoom dal punto di vista tecnico e anche BlueJeans.
L’uso di un web server in abbinamento a queste app di videoconferenza è necessario perché da tempo i browser moderni impediscono l’uso dei plug-in NPAPI, permette solo l’uso dei cosiddetti plugin PPAPI. I componenti aggiuntivi vengono in questo modo caricati ed eseguiti in un processo separato dal browser stesso e consentono di avere maggiori garanzie dal punto di vista della sicurezza.
Di per sé, l’esecuzione di un server locale su un Mac non è un problema ma potrebbero essere fonte di problemi se questi sono sfruttati per aggirare legittimi meccanismi di sicurezza dei browser. È lecito immaginare che Google, Apple o Mozilla reagiranno di conseguenza, integrando ulteriori restrizioni nei rispettivi browser, impedendo di richiamare servizi differenti dai siti web.