La vulnerabilidad fue descubierta en una aplicación de videoconferencias muy utilizada en el ámbito empresarial.
Una peligrosa falla de seguridad detectada en la aplicación para videoconferencias Zoom permite que cualquier sitio web malicioso habilite la cámara de las computadoras Mac sin permiso del usuario. La falla expone potencialmente a por lo menos 750.000 empresas de todo el mundo que utilizan Zoom para llevar a cabo sus actividades cotidianas.
La vulnerabilidad fue descubierta por Jonathan Leitschuh, ingeniero en informática, quien publicó su hallazgo en Medium, luego de comunicárselo a la empresa en marzo, y tras constatar que no se tomaron acciones para solucionarlo.
Leitschuh demostró que cualquier sitio web puede abrir una videollamada en una Mac con la aplicación Zoom instalada, sin que el usuario se entere. Esto es posible en parte porque la aplicación instala un servidor web en Macs que acepta peticiones que los navegadores normales no aceptarían.
El autor, incluso, detalla que si se desinstala Zoom, ese servidor web persiste y puede reinstalar el programa sin intervención del usuario.
Leitschuh indica que en 2015, Zoom contaba con más de 40 millones de usuarios. Dado que las Mac representan el 10% del mercado de PCs y que Zoom ha tenido un crecimiento significativo desde 2015, «podemos asumir que al menos 4 millones de usuarios de Zoom están en Mac. Herramientas como Zoom, Google Meet o Skype para empresas son un elemento básico de la oficina moderna de hoy en día».
«Cualquier vulnerabilidad en una aplicación con tantos usuarios debe ser considerada una amenaza seria para todos ellos», advierte.
En una declaración a The Verge y otras publicaciones, Zoom señaló que desarrolló el servidor web local con el fin de ahorrarle al usuario algunos clics, luego de que Apple cambiara su navegador web Safari de manera que los usuarios de Zoom tuvieran que confirmar que desean iniciar Zoom cada vez.
La empresa defiende la «solución provisional» como una «solución legítima para una mala experiencia de usuario, que permite a nuestros usuarios tener reuniones sin fisuras y con un solo clic para unirse a ellas, que es nuestro principal diferenciador de producto».
SI bien la compañía no tiene previsto una solución para la falla de seguridad más allá de depender de que los usuarios apaguen sus cámaras de forma predeterminada, Leitschuh publicó en su escrito algunas maneras de protegerse, incluyendo la manera de deshabilitar el servidor web que instala la app.
Fuente: www.clarin.com