Cualquier Mac con la aplicación de teleconferencia Zoom se puede espiar ahora mismo. Sí, es un mal día para la seguridad de Apple, ya que se pueden codificar sitios web maliciosos para iniciar de forma remota una llamada de videoconferencia en su Mac, y el ataque incluso se puede enviar por correo electrónico.
Esta noticia, revelada por el investigador de seguridad Jonathan Leitschuh, muestra que incluso las Mac que ya no tienen Zoom instalado, pero una vez lo hicieron, son vulnerables. La buena noticia, sin embargo, es que hay soluciones (aunque una es muy difícil), y Zoom parece arreglarlo todo pronto.
Qué hacer ahora
La solución, gracias a que Zoom cambió su postura, parece ser tan simple como aceptar las actualizaciones de Zoom a medida que llegan. En una actualización de la gran publicación de blog de Zoom sobre la falla, la compañía declaró que un parche que llegará esta noche (9 de julio) a las 3 a.m. EST / medianoche PST o antes resolverá las cosas. Se les pedirá a los usuarios que actualicen la aplicación y que una vez que finalice la actualización, "el servidor web local se eliminará por completo en ese dispositivo".
La actualización también supuestamente mejorará el procedimiento de desinstalación. La publicación de Zoom dice "Estamos agregando una nueva opción a la barra de menú de Zoom que permitirá a los usuarios desinstalar manual y completamente el cliente de Zoom, incluido el servidor web local".
Esperamos ver si Jonathan Leitschuh y otros investigadores de seguridad piensan que Zoom está haciendo un trabajo completo y adecuado.
Para proteger su Mac, abra Configuración para Zoom - haga clic en Zoom en la barra de menú, luego haga clic en Configuración - y abra la sección Video. Luego, marque la casilla junto a "Desactivar mi video al unirse a una reunión".
En su publicación, Leitschuh también compartió código para usar en la Terminal. Esas instrucciones se complican un poco y son las mejores para los usuarios expertos en tecnología que lo prefieran. Esos consejos están hechos para erradicar el servidor web que Zoom crea en Mac.
Cómo funciona
Sí, todo esto es posible porque Zoom instala en secreto un servidor web en Mac, uno que recibe, y acepta, solicitudes que sus navegadores web no recibirían. Leitschuh explicó que trató de trabajar con Zoom, contactando a la compañía en marzo pasado, pero que sus "soluciones no fueron suficientes para proteger completamente a sus usuarios".
Además, como mencioné anteriormente, incluso aquellos usuarios que han desinstalado Zoom de sus Mac son vulnerables. Leitschuh explica que el servidor web instalado por Zoom se queda atrás incluso después de eliminar el programa, y que el servidor se puede activar de forma remota para actualizar e instalar automáticamente la última versión de Zoom.
Ah, y una víctima ni siquiera necesita ser engañada para que abra una página web. En primer lugar, el usuario de Vimeo 'fun jon' publicó evidencia en video de que puede atacar esta falla por correo electrónico, y el objetivo ni siquiera necesita abrir el mensaje. Solo necesitan usar una aplicación de cliente de correo electrónico que descargue el mensaje codificado maliciosamente.
Después de que Leitschuh discutiera con Zoom, alegando que le había dicho a la empresa que "permitir que un anfitrión elija si un participante se unirá automáticamente con video" es una "vulnerabilidad de seguridad independiente", la empresa no estuvo de acuerdo, posicionando su decisión como pro-usuario: "Zoom cree en darles a nuestros clientes el poder de elegir cómo quieren hacer Zoom ".
¿Quieres verlo por ti mismo?
Si alguna vez ha tenido Zoom en su máquina, puede comprobarlo por sí mismo.
Busque en la publicación del blog de Leitschuh la frase "zoom_vulnerability_poc /", ya que ese es el enlace a su prueba de concepto, que lanza una llamada de Zoom. La primera es una versión de solo audio; el segundo enlace, que incluye 'iframe' en la URL, inicia una llamada con video activo.
Esta vulnerabilidad de Zoom son los plátanos. Probé uno de los enlaces de prueba de concepto y me conecté a otros tres randos que también se volvieron locos en tiempo real. https://t.co/w7JKHk8nZypic.twitter.com/arOE6DbQaf - Matt Haughey (@mathowie) 9 de julio de 21-2022
Este artículo apareció originalmente en Tom's Guide.
- Revisión de macOS Catalina Beta
- Usé un mouse con iPadOS y así es como funciona
- Revisión de iPadOS Beta