La vulnerabilidad de seguridad de Zoom podría permitir que los sitios secuestraran la cámara web de su Mac
La aplicación de videoconferencia Zoom tiene un problema de seguridad importante que podría permitir que cualquier persona apunte a su cámara web al agregarlo a una videollamada sin su permiso.
Es una falla seria en el competidor de Skype, que podría permitirle a cualquiera acceder a su cámara simplemente enviándole un enlace a una videoconferencia. Sería fácil para un sitio web engañarlo para que haga clic en un enlace de Zoom ocultando la opción en una imagen o mediante una ventana emergente, activando su cámara web sin siquiera darse cuenta.
Relacionado: Mejor VPN
Los cuatro millones de usuarios de Zoom que han instalado la aplicación Zoom para Mac, incluidas las 750.000 empresas que utilizan Zoom para realizar sus actividades comerciales diarias, son susceptibles al problema.
Eliminar la aplicación tampoco resuelve el problema. Cuando instala la aplicación Zoom, también se instala un servidor web para aceptar automáticamente las solicitudes de reunión cuando hace clic en un enlace. Está diseñado para que la entrada de videollamadas sea una experiencia perfecta. Sin embargo, esto significa que la aplicación no se detiene para pedir permiso para acceder a su cámara cuando ingresa una llamada.
– una característica que los sitios web maliciosos podrían aprovechar fácilmente.Incluso si desinstala la aplicación, este servidor web no va a ninguna parte, lo que significa que Zoom puede reinstalar la aplicación cuando lo desee sin su consentimiento, dejándolo de nuevo en el punto de partida.
El problema fue descubierto inicialmente por un investigador de seguridad. Jonathan Leitschuh en marzo. Leitschuh se puso en contacto con Zoom directamente, le explicó los problemas que había encontrado y le sugirió una solución rápida. – deshabilite la opción que permite a las personas que llaman encender automáticamente el video para todos – Zoom podría implementar mientras trabajaba para resolver el problema.
Durante el período de divulgación pública de 90 días, Leitschuh envió un tweet a Zoom advirtiéndole que estaba a punto de hacer pública la información. Zoom argumentó que "no ve el video de forma predeterminada como una vulnerabilidad de seguridad".
Hola Jonathan, ¡gracias por investigar esto! Como primera solución de video, no vemos el video de forma predeterminada como una vulnerabilidad de seguridad, permitimos a los usuarios establecer sus propias preferencias de video deseadas. Los detalles sobre cómo los usuarios pueden configurar esto se pueden encontrar aquí: https://t.co/Yr1mjUIWaE
- Zoom (@zoom_us) 8 de julio de 2019
Sin embargo, el problema no es que haya un video por defecto. El problema es que esta configuración está controlada por quien inicia la llamada. La configuración de videoconferencia de Zoom permite a la persona que llama cambiar el video de "Participantes" a "Activado" cuando iniciar una llamada, lo que significa que cualquier persona que haga clic en el enlace encontrará automáticamente su cámara web encendido.
Zoom ha demorado los pies para arreglar la falla de seguridad, celebrando la primera reunión para abordarla el 11 de junio (18 días antes de que el público de 90 días fecha límite de divulgación) y luego finalmente implementar la solución rápida de Leitschuh el 24 de junio en lugar de ofrecer una solución permanente de su propio.
Relacionado: La mejor VPN gratuita
El problema de la cámara web reapareció el 7 de julio, pero – según la cronología de la publicación de Leitschuh – Zoom logró arreglarlo nuevamente el 8 de julio.
Hasta el momento no se menciona una solución permanente. Zoom ha reclamado que comenzará a guardar las preferencias individuales de los usuarios sobre si el video se activará o desactivará cuando se unan una llamada de este mes, pero esto servirá de poco para ayudar a quienes eligen mantener su video encendido defecto.
Esto tampoco resolverá el problema del servidor web, pero puede visitar el Publicación mediana para seguir las propias sugerencias de Leitschuh para desinstalar el servidor web.