Millones de usuarios del software de videollamadas Zoom han sido advertidos sobre una falla de seguridad que, de ser aprovechada, podría encender en secreto la cámara web de los dispositivos Macbook.
Un investigador llamado Jonathan Leitschuh reveló este problema en una publicación de su blog esta semana y afirmó que el error de Zoom permite que sitios maliciosos activen las cámaras sin la autorización del usuario al aprovechar una característica diseñada para permitir que los usuarios se unan rápidamente a una videollamada.
El problema, que únicamente afecta a los usuarios de Apple, existe debido a que Zoom incorpora un servidor web en las Mac cuando se instala por primera vez. De acuerdo con la empresa, esto se hace para comodidad del usuario: su objetivo es pasar por alto una actualización de Safari que pide a los usuarios que acepten activar el cliente antes de cada llamada.
Leitschuh ha advertido que se trata de un error que pone en riesgo a todos los usuarios de Zoom que utilicen una Mac.
Lee: WhatsApp dejará de funcionar en algunos teléfonos ¿Tienes alguno de estos?
“Esta vulnerabilidad permite que cualquier sitio web haga que un usuario se una por la fuerza a una llamada de Zoom, activando la cámara de video sin la autorización de ese usuario”, declaró el experto, resumiendo sus hallazgos.
Cualquier usuario de Mac que haya instalado Zoom tiene este servidor web en su computadora, y esto puede ser aprovechado por sitios web maliciosos, aún si se desinstala la aplicación, descubrió Leitschuh.
El investigador creó una prueba en la que hizo la comunicación con el servidor web. Lo único que un atacante necesita es integrar una línea de código malicioso en un sitio web y enviarla a la víctima. “Cualquier usuario de Zoom será conectado instantáneamente y se activará su transmisión de video”, escribió.
Los usuarios preocupados de Zoom pueden desactivar la función que permite que Zoom encienda la webcam al unirse a una reunión, como se muestra en esta imagen compartida por el investigador. IMAGEN: JONATHAN LEITSCHUH
Esencialmente, si el usuario no configuró su aplicación de Zoom para desactivar el video cuando se une por primera vez a una reunión, un atacante podría ver la señal de video del usuario.
Por ahora, existe un remedio rápido. Los usuarios preocupados pueden desactivar la opción de Zoom de activar la webcam en la configuración de software de video. En su estado por defecto, el anfitrión de la videollamada puede decidir si se activa o no la cámara de un receptor desde el inicio de la conferencia.
Te puede interesar: Estas apps infectadas de Google Play podrían arruinar tu celular
La vulnerabilidad le fue revelada a Zoom el 26 de marzo y solo fue hecha pública debido a que la empresa no logró corregir la falla en un plazo de 90 días, afirmó Leitschuh. Existen unos 4 millones de usuarios de Zoom en computadoras Mac de Apple. Todos ellos son vulnerables a una invasión de su privacidad, afirmó el investigador.
En respuesta a los hallazgos de Leitschuh, Zoom dijo en una declaración que el problema se considera de bajo riesgo porque los usuarios pueden modificar las opciones por defecto en la configuración de su cámara.
La empresa señaló que: “Zoom instala un servidor web local en los dispositivos Mac en los que se instala el cliente Zoom. Esta es una solución a un cambio en la arquitectura introducido en Safari 12 que exige que el usuario acepte activar Zoom antes de cada reunión. El servidor web local acepta automáticamente el acceso al periférico para que el usuario pueda evitar ese clic extra antes de participar en una reunión”.
“Pensamos que se trata de una solución legítima a una mala experiencia de usuario; dicha solución permite que nuestros usuarios puedan participar en una reunión con un solo clic, lo cual es un factor distintivo clave de nuestro producto”, añadió.
La compañía subió el martes un parche que, afirma, permite eliminar el servidor web local por completo y desinstalar de forma manual y completa a la aplicación. Afirmó que una actualización llegará el 12 de julio.
Puedes descargar el parche del 9 de julio en este vínculo.
También lee: ¿Te imaginas hackear a la NASA con una microcomputadora de 700 pesos? Así pasó
En una futura actualización, Zoom señaló que ahora guardaría las preferencias del usuario establecidas para su primera conferencia y las utilizaría en todas las reuniones posteriores. La empresa señaló que, en las próximas semanas, pondrá en marcha un nuevo programa de recompensas para los expertos que informen sobre fallas en el programa. En otra declaración, Zoom dijo que no tenía “ninguna indicación” de que esta falla hubiera sido aprovechada por hackers.
En Twitter, distintos expertos en ciberseguridad se sintieron alarmados, y probaron y confirmaron rápidamente el alcance de la falla de Zoom. Varios investigadores también compartieron enlaces para que cualquier persona pudiera verificar esos problemas.
“Esta vulnerabilidad de Zoom es una locura”, comentó el programador y bloguero de tecnología Matt Haughey, junto con una imagen de la videollamada. “Probé uno de los enlaces a las pruebas y me conecte con otras tres personas al azar que también se sentían preocupadas por ello en tiempo real”.
En referencia a los problemas del software, el desarrollador web Zach Leatherman escribió: “Tarea doméstica importante: desinstalar el cliente [de Zoom] del sistema hasta que ellos eliminen esta puerta trasera poco ética”.
—
Publicado en cooperación con Newsweek / Published in cooperation with Newsweek
