Hace algunas horas comentamos acerca de una vulnerabilidad de día cero en Zoom, que permitía espiar a los usuarios de macOS a través de la webcam de su equipo. Por fortuna, la empresa anunció un parche de seguridad para corregir el fallo.
Zoom, es la aplicación de videoconferencias que suele competir de cerca con Skype. Pero luego del episodio reciente esto podría cambiar, ya que se conoció que la instalación de servidores locales en mac, permitía que cualquiera pudiese tomar control del equipo y espiar a los usuarios con la cámara web.
La noticia se dio a conocer hace algunos meses, cuando un investigador de seguridad alertó a la compañía acerca de la vulnerabilidad, en su momento, Zoom lo catalogó como reporte de bajo riesgo, pero en vista de que el investigador hizo pública la información más reciente, Zoom anunció un parche de emergencia para abordar la vulnerabilidad para los usuarios de Mac.
[Actualización] El parche del 9 de julio a la aplicación Zoom en dispositivos Mac que se describió anteriormente en nuestro blog ya está disponible. Se explican los detalles de los diversos arreglos que contiene, así como la forma de actualizar el software Zoom. Vea la publicación del blog aquí: https://t.co/56yDgoZf1U
– Zoom (@zoom_us) 9 de julio de 2019.
[Update] The July 9 patch to the Zoom app on Mac devices detailed earlier on our blog is now live. Details on the various fixes contained within it are explained, as well as how to update the Zoom software. See blog post here: https://t.co/56yDgoZf1U
— Zoom (@Zoom) July 9, 2019
Posición de Zoom ante el zero day
Tal como se informó inicialmente, Zoom instala un servidor web local en las computadoras Mac que instalan su aplicación. De esta manera salta las validaciones del sistema y acepta solicitudes de todos los navegadores (Safari, Mozilla, Chrome, entre otros).
Estos mensajes de confirmación básicamente permiten mostrar una ventana emergente preguntando si desea integrarse a una nueva reunión con Zoom.
Al no existir tal confirmación, surge la vulnerabilidad del día cero que permite activar el chat y la videocámara sin el consentimiento del usuario.
Tras los primeros reportes, Zoom había colocado la advertencia de la vulnerabilidad como en “bajo riesgo”, según el informe.
Sin embargo, en vista de que varios usuarios y medios reportaron el fallo, la compañía decidió actualizar el parche de seguridad y en su blog anunció que “eliminará por completo el servidor web local, una vez que se haya actualizado el cliente de Zoom”.
Quiero decir, el propietario de la plataforma decide que las URL web no deberían abrir otras aplicaciones sin un clic de aprobación, una medida de seguridad bastante sensata. Su respuesta como empresa probablemente no debería ser, “omitamos esto instalando de forma invisible un servidor que es un posible agujero de seguridad”.
De esta manera evitará que un malintencionado logre activar el chat del usuario y la videocámara sin su consentimiento. La compañía publicó en su blog el paso a paso para instalar el parche de seguridad y las actualizaciones correspondientes.
El investigador también señaló que Zoom actuó rápidamente durante la divulgación inicial para resolver los problemas de seguridad que definió como problemáticos, debido a las posibilidades de ejecutar un DDoS.