Una vulnerabilidad en la aplicación de videollamadas Zoom permite que activen la cámara de los Mac sin consentimiento

Zoom ha rectificado y ha lanzado un parche de urgencia para solucionar el problema, basándose en los 'recientes comentarios de los usuarios'. Se elimina así el servidor local que permitía a cualquier tercero unirse a una llamada.

El investigador de seguridad Jonathan Leitschuch ha publicado en Medium un grave error del cliente para videollamadas Zoom en los dispositivos con macOS, mediante el cual cualquier sitio web puede acceder a la cámara de nuestro dispositivo.

Una de las principales alertas de la noticia recae en que el equipo de Zoom tuvo constancia de este hecho desde el mes de marzo, sin haber hecho prácticamente nada desde esa fecha por arreglar la vulnerabilidad que permite secuestrar la webcam.

Un enorme fallo de seguridad sin solución en camino

Leitschuch cuenta en su publicación que la vulnerabilidad en Zoom permite que cualquier sitio web se una a la videollamada que estamos realizando, sin permiso del usuario. Del mismo modo, aunque hayamos desinstalado el cliente, quedará un archivo localhost en nuestro ordenador con la capacidad de reinstalar el cliente de nuevo sin necesidad de aprobación por parte del usuario.

El error lleva más de tres meses puesto sobre la mesa, superando el plazo que el investigador dio al equipo de Zoom antes de hacer pública ante el mundo la vulnerabilidad

Asimismo, demuestra que la vulnerabilidad se puso en manos del equipo de Zoom en el mes de marzo de este mismo año, en un informe en el que se describían tanto el fallo de seguridad como una posible solución al mismo, proporcionada por el investigador. Tres meses después, el equipo de zoom sigue sin haber puesto solución al problema, por lo que Leitschurch ha decidido hacerlo público.

Una solución bastante sencilla

La solución rápida al problema no podría ser más sencilla. El principal motivo de que cualquier sitio web pueda unirse a una llamada recae en esto mismo, en que uno de los permisos de Zoom describe que cualquier creador de reuniones pueda habilitar la cámara de los participantes por defecto. En otras palabras, si invitas a alguien a tu llamada, su cámara se abrirá por defecto.

Una solución rápida pasaba por deshabilitar una de las propias configuraciones por defecto de Zoom, no hacía falta ir mucho más allá

Si bien no es la solución más completa a nivel de seguridad, el investigador propuso al equipo de Zoom cambiar esta configuración, para que se deshabilitara la activación por defecto de la cámara (algo que se puede hacer incluso de forma manual desde los ajustes del cliente). Esta fue la respuesta del equipo de Zoom.

Zoom cree en dar a nuestros clientes el poder de elegir cómo quieren hacer sus llamadas. Esto incluye si desean una experiencia perfecta al unirse a una reunión con el micrófono y el video habilitados automáticamente, o si desean habilitar manualmente estos dispositivos de entrada después de unirse a una reunión. Dichas opciones de configuración están disponibles en la configuración de audio y video del cliente de Zoom Meeting.

Sin embargo, también reconocemos el deseo de algunos clientes de tener un diálogo de confirmación antes de unirse a una reunión. Basándose en sus recomendaciones y solicitudes de funciones de otros clientes, el equipo de Zoom está evaluando las opciones para dicha función, así como los controles de nivel de cuenta adicionales sobre la configuración del dispositivo de entrada del usuario. Nos aseguraremos de mantenerlo informado sobre nuestros planes al respecto.

A día de hoy, pese a los parches que intentó añadir el equipo de Zoom, el problema persiste, hasta el punto de que el investigador insta a no utilizar esta aplicación a la hora de comunicarnos.

Por el momento, lo único que pueden hacer los usuarios, en caso de seguir utilizando este servicio, es activar la opción de deshabilitar vídeo cuando me uno a una videollamada. No es una solución completa pero, al menos, pondremos una pequeña barrera al atacante cuando intente secuestrar nuestra cámara.

Vía | Medium

Ver todos los comentarios en https://www.genbeta.com

VER 0 Comentario

Portada de Genbeta