Odkryto poważną lukę w programie Zoom dla Maca służącym do wideokonferencji. Pozwala ona na przejęcie kamerki FaceTime i szpiegowanie użytkownika.

Zoom to popularny, dostępny na różne platformy, program do prowadzenia wideokonferencji. Okazuje się jednak, że podczas jego instalacji, w systemie instalowany jest także serwer web, który działa w tle jako jeden z procesów. Zostaje on na Macu nawet po odinstalowaniu właściwiej aplikacji Zoom i instaluje go na nowo jeśli potrzeba i to bez jakiejkolwiek wiedzy i reakcji ze strony użytkownika. To z kolei pozwala odpowiednio spreparowanej stronie na przyłączenie komputera - bez wiedzy jego użytkownika - do konferencji i aktywowanie kamery w jego komputerze. Wystarczy tylko otworzyć zaszyty w niej adres konferencji.

Odkrywca tej luki, Jonathan Leitschuh, opisuje na swoim blogu w serwisie Medium, że deweloperzy Zoom przez 90 dni nie wprowadzili odpowiednich zmian, które w pełni by ją łatały. Przedstawia też szczegóły techniczne dotyczącej tej luki oraz prezentuje przykład jej wykorzystania, a także sposób zabezpieczenia się i wyłączenia wspomnianego serwera web.

Przede wszystkim należy w programie Zoom wyłączyć funkcję automatycznego aktywowania kamery przy dołączeniu do konferencji. Wspomniany serwer web utworzony przez aplikację Zoom należy wyłączyć w terminalu. Na początku należy sprawdzić numer procesu serwera za pomocą komendy:

lsof -i :19421

Następnie zamknąć go komendą:

kill -9 [numer procesu]

Później pozostaje jeszcze usunąć wszystkie pliki z katalogu ~/.zoomus

Źródło: The Verge za Jonathan Leitschuh