Qualsiasi Mac con l'app di teleconferenza Zoom può essere spiato in questo momento. Sì, è una brutta giornata per la sicurezza di Apple, poiché i siti Web dannosi possono essere codificati per avviare in remoto una videoconferenza sul tuo Mac e l'attacco può anche essere inviato tramite e-mail.
Questa notizia, divulgata dal ricercatore di sicurezza Jonathan Leitschh, mostra che anche i Mac su cui non è più installato Zoom, ma una volta lo era, sono vulnerabili. La buona notizia, tuttavia, è che ci sono soluzioni (una è seriamente difficile, però) e Zoom sembra che presto risolverà tutto.
cosa fare adesso
La correzione, grazie a Zoom che cambia la sua posizione, sembra essere semplice come accettare gli aggiornamenti di Zoom non appena arrivano. In un aggiornamento al grande post sul blog di Zoom sul difetto, la società ha dichiarato che una patch in arrivo stasera (9 luglio) o prima delle 3:00 EST/mezzanotte PST risolverà le cose. Agli utenti verrà richiesto di aggiornare l'app e che una volta terminato l'aggiornamento, "il server Web locale verrà completamente rimosso su quel dispositivo".
L'aggiornamento dovrebbe anche migliorare la procedura di disinstallazione. Il post di Zoom afferma "Stiamo aggiungendo una nuova opzione alla barra dei menu di Zoom che consentirà agli utenti di disinstallare manualmente e completamente il client Zoom, incluso il server Web locale".
Non vediamo l'ora di vedere se Jonathan Leitschhuh e altri ricercatori sulla sicurezza pensano che Zoom stia facendo un lavoro completo e corretto.
Per proteggere il tuo Mac, apri Impostazioni per Zoom - fai clic su Zoom nella barra dei menu, quindi fai clic su Impostazioni - e apri la sezione Video. Quindi seleziona la casella accanto a "Disattiva il mio video quando partecipi a una riunione".
Nel suo post, Leitschhuh ha anche condiviso il codice da utilizzare nel Terminale. Queste istruzioni diventano un po' complicate e sono le migliori per gli utenti esperti di super-tecnologia che lo preferirebbero. Questi suggerimenti sono fatti per sradicare il server web che Zoom crea sul Mac.
Come funziona
Sì, tutto questo è possibile perché Zoom installa segretamente un server web su Mac, uno che riceve e accetta richieste che i tuoi browser web non farebbero. Leitschh ha spiegato di aver provato a lavorare con Zoom, contattando l'azienda lo scorso marzo, ma che le sue "soluzioni non erano sufficienti per proteggere completamente i propri utenti".
Inoltre, come ho detto prima, anche quegli utenti che hanno disinstallato Zoom dai loro Mac sono vulnerabili. Leitschh spiega che il server web installato da Zoom rimane indietro anche dopo aver rimosso il programma e che il server può essere attivato in remoto per aggiornare e installare automaticamente l'ultima versione di Zoom.
Oh, e una vittima non ha nemmeno bisogno di essere indotta ad aprire una pagina web. Prima di tutto, l'utente di Vimeo 'fun jon' ha pubblicato prove video che puoi attaccare questo difetto via e-mail e il bersaglio non ha nemmeno bisogno di aprire il messaggio. Devono solo utilizzare un'app client di posta elettronica che scarica il messaggio codificato in modo dannoso.
Dopo che Leitschh ha discusso con Zoom, sostenendo di aver detto alla società che "consentire a un host di scegliere se un partecipante si unirà automaticamente o meno al video" è una "vulnerabilità di sicurezza autonoma", la società non è stata d'accordo, posizionando la sua decisione come pro-utente: "Zoom crede nel dare ai nostri clienti il potere di scegliere come vogliono Zoom."
Vuoi vederlo di persona?
Se hai mai avuto Zoom sulla tua macchina, puoi vederlo da solo.
Cerca nel post del blog di Leitschhuh la frase "zoom_vulnerability_poc/" - poiché questo è il collegamento al suo proof of concept, che lancia una chiamata Zoom. La prima è una versione solo audio; il secondo link, che include 'iframe' nell'URL, avvia una chiamata con video attivo.
Questa vulnerabilità Zoom è banane. Ho provato uno dei link proof of concept e mi sono connesso ad altri tre randos anche loro impazzendo in tempo reale. https://t.co/w7JKHk8nZy pic.twitter.com/arOE6DbQaf - Matt Haughey (@mathowie) July 9,2021-2022
Questo articolo è apparso originariamente su Tom's Guide.
- Recensione beta di macOS Catalina
- Ho usato un mouse con iPadOS ed ecco come funziona
- Recensione beta di iPadOS