Qualquer Mac com o aplicativo de teleconferência Zoom pode ser espionado agora. Sim, é um dia ruim para a segurança da Apple, já que sites maliciosos podem ser codificados para iniciar remotamente uma chamada de videoconferência no seu Mac - e o ataque pode até mesmo ser enviado por e-mail.
A notícia, divulgada pelo pesquisador de segurança Jonathan Leitschuh, mostra que mesmo os Macs que não têm mais o Zoom instalado - mas antes tinham - são vulneráveis. A boa notícia, porém, é que existem soluções (uma delas é seriamente difícil), e o Zoom parece consertar tudo em breve.
O que fazer agora
A correção, graças à mudança de posição do Zoom, parece ser tão simples quanto aceitar as atualizações do Zoom assim que chegam. Em uma atualização da grande postagem do blog da Zoom sobre a falha, a empresa declarou que um patch chegando hoje à noite (9 de julho) às 3h EST / meia-noite PST resolverá as coisas. Os usuários serão solicitados a atualizar o aplicativo e que, assim que a atualização for concluída, "o servidor da web local será completamente removido desse dispositivo".
A atualização também supostamente melhorará o procedimento de desinstalação. A postagem de Zoom afirma "Estamos adicionando uma nova opção à barra de menu do Zoom que permitirá aos usuários desinstalar manualmente e completamente o cliente Zoom, incluindo o servidor web local."
Estamos ansiosos para ver se Jonathan Leitschuh e outros pesquisadores de segurança acham que o Zoom está fazendo um trabalho completo e adequado.
Para proteger o seu Mac, abra Configurações de Zoom - clique em Zoom na barra de menus e, em seguida, clique em Configurações - e abra a seção Vídeo. Em seguida, marque a caixa ao lado de "Desativar meu vídeo ao entrar em uma reunião".
Em sua postagem, Leitschuh também compartilhou código para uso no Terminal. Essas instruções ficam um pouco complicadas e são melhores para usuários experientes em supertecnologia que as preferem. Essas dicas são feitas para erradicar o servidor web que o Zoom cria no Mac.
Como funciona
Sim, tudo isso é possível porque o Zoom instala secretamente um servidor web em Macs, que recebe - e aceita - solicitações que seus navegadores não receberiam. Leitschuh explicou que tentou trabalhar com a Zoom, entrando em contato com a empresa em março passado, mas que suas "soluções não eram suficientes para proteger totalmente seus usuários".
Além disso, como mencionei anteriormente, mesmo os usuários que desinstalaram o Zoom de seus Macs estão vulneráveis. Leitschuh explica que o servidor web instalado pelo Zoom fica para trás mesmo depois que você remove o programa, e que o servidor pode ser acionado remotamente para atualizar e instalar automaticamente a versão mais recente do Zoom.
Ah, e uma vítima nem precisa ser enganada para abrir uma página da web. Em primeiro lugar, o usuário do Vimeo 'fun jon' postou evidências em vídeo de que você pode atacar essa falha por e-mail, e o alvo nem mesmo precisa abrir a mensagem. Eles só precisam usar um aplicativo cliente de e-mail que baixe a mensagem codificada de forma mal-intencionada.
Depois que Leitschuh argumentou com Zoom, alegando ter dito à empresa que "permitir que um host escolha se um participante irá ou não participar automaticamente com o vídeo" é uma "vulnerabilidade de segurança autônoma", a empresa discordou, posicionando sua decisão como pró-usuário: "Zoom acredita em dar aos nossos clientes o poder de escolher como querem aplicar o zoom. "
Quer ver por si mesmo?
Se você já instalou o Zoom em sua máquina, pode ver por si mesmo.
Pesquise a postagem do blog de Leitschuh pela frase "zoom_vulnerability_poc /" - pois esse é o link para sua prova de conceito, que inicia uma chamada de Zoom. A primeira é uma versão apenas de áudio; o segundo link, que inclui 'iframe' no URL, inicia uma chamada com vídeo ativo.
Essa vulnerabilidade de Zoom é incrível. Eu tentei um dos links de prova de conceito e me conectei com outros três randos também enlouquecidos em tempo real. https://t.co/w7JKHk8nZypic.twitter.com/arOE6DbQaf - Matt Haughey (@mathowie) julho 9,2021-2022
Este artigo apareceu originalmente no Tom's Guide.
- Avaliação do macOS Catalina Beta
- Eu usei um mouse com o iPadOS e é assim que funciona
- Avaliação do iPadOS Beta
