El proveedor de videoconferencia Zoom está lanzando un parche de emergencia más tarde hoy para solucionar la vulnerabilidad de día cero para los usuarios de Mac que podrían exponer la transmisión de una cámara web en vivo a un atacante. La medida es una inversión inesperada de la postura anterior de Zoom, en la cual la compañía trató la vulnerabilidad como de "bajo riesgo" y defendió su uso de un servidor web local que incidentalmente expuso a los usuarios de Zoom a posibles ataques.
La solución, que se detalla en la última actualización de la publicación del blog de Zoom sobre la vulnerabilidad, ahora "eliminará por completo el servidor web local, una vez que se haya actualizado el cliente de Zoom", para eliminar la capacidad de un tercero malintencionado de activar automáticamente las cámaras web usando un enlace de zoom. La vulnerabilidad se debe al hecho de que Zoom instala un servidor web local en las computadoras Mac que instalan su aplicación, lo que permite a la plataforma eludir las medidas de seguridad en Safari 12 que solicitan a los usuarios un cuadro de diálogo para confirmar cuando se unen a una nueva reunión.
Zoom dice que hace esto para hacer que su servicio sea más rápido y más fácil de usar; en otras palabras, le ahorra unos pocos clics del mouse. Pero el servidor web local también crea la rara pero presente posibilidad de que un sitio web malicioso pueda activar su cámara web mediante el uso de un iFrame, evitando las protecciones integradas de Safari. En una versión de Zoom con parches posteriores, esta misma vulnerabilidad también podría haber sido utilizada para realizar ataques de denegación de servicio a alguien a través de pings continuos en ese servidor web local.
Aquí está el texto de actualización y las instrucciones de Zoom sobre cómo instalarlo y / o eliminar el servidor web por completo:
El parche programado para esta noche (9 de julio) a las 12:00 am hora del Pacífico hará lo siguiente:
1. Elimine el servidor web local por completo, una vez que se haya actualizado el cliente Zoom: estamos deteniendo el uso de un servidor web local en dispositivos Mac. Una vez implementado el parche, se solicitará a los usuarios de Mac en la interfaz de usuario de Zoom (UI) que actualicen su cliente. Una vez que se complete la actualización, el servidor web local se eliminará completamente en ese dispositivo.
2. Permitir que los usuarios desinstalen manualmente el Zoom: estamos agregando una nueva opción a la barra de menús de Zoom que permitirá a los usuarios desinstalar de forma manual y completa el cliente de Zoom, incluido el servidor web local. Una vez implementado el parche, aparecerá una nueva opción de menú que dice "Desinstalar el zoom". Al hacer clic en ese botón, el zoom se eliminará completamente del dispositivo del usuario junto con la configuración guardada por el usuario.
A raíz de un post mediano ayer del investigador de seguridad Jonathan Leitschuh, que detalló por primera vez la vulnerabilidad, Zoom dijo que lanzaría una actualización a finales de este mes que permitiría a los usuarios guardar las preferencias de videollamadas para que las cámaras web puedan permanecer apagadas cada vez que se unan a una nueva llamada. Esto funcionó al transferir sus preferencias a nuevas llamadas, incluidas las que podrían ser enlaces de spam enmascarados diseñados para que haga clic y active accidentalmente su cámara web.
Esa no fue una solución suficiente para algunos críticos, ya que Zoom aún estaba omitiendo efectivamente la seguridad de Apple solo para poder lanzar llamadas de Zoom de inmediato y sin la confirmación de un usuario. Inicialmente, Zoom defendió el servidor web como una "solución legítima a un problema de experiencia de usuario deficiente, permitiendo a nuestros usuarios tener reuniones más rápidas con un solo clic", como escribió Richard Farley, director de seguridad de la información de Zoom, en la primera Versión del blog de la empresa.
Quiero decir, el propietario de la plataforma decide que las URL web no deberían abrir otras aplicaciones sin un clic de aprobación, una medida de seguridad bastante sensata. Su respuesta como empresa probablemente no debería ser, "omitamos esto instalando de forma invisible un servidor que es un posible agujero de seguridad".
– Jason Snell (@jsnell) 9 de julio de 2019
Leitschuh ahora dice que el CEO de Zoom, Eric Yuan, se mostró "lleno de cariño", pidiendo disculpas por la respuesta y por que el Zoom se acerca a la vulnerabilidad, de acuerdo con Cableado. Leitschuh originalmente había advertido a Zoom sobre el problema en marzo, y le dio a Zoom 90 días para responder. "En última instancia, decidió no cambiar la funcionalidad de la aplicación", escribió Farley. Entonces, Leitschuh se hizo público, después de negarse a unirse al programa de recompensas de errores de Zoom por lo que Zoom describe como desacuerdos sobre su política de no divulgación.
La presión negativa subsiguiente parece haber ejercido una presión adicional sobre Zoom para que actúe, especialmente después de que la única respuesta de la compañía incluyera una actualización a fines de este mes para permitirle ajustar manualmente la configuración. Por cierto, Yuan hizo este último anuncio a Leitschuh y otros investigadores en uno de los canales de prueba de Zoom que había creado para demostrar su punto de vista sobre la gravedad de la vulnerabilidad.
La conversación con el @zoom_us CEO en el 'Party Chat' fue increíblemente productivo. Se sentía como una cara sobre su posición anterior en este #vulnerabilidad. Es realmente alentador ver a un CEO dispuesto a saltar a una llamada con un grupo de desconocidos para asumir la responsabilidad.
– Jonathan Leitschuh (@JLLeitschuh) 9 de julio de 2019
