O melhor pedaço da Maçã.
MM News

Receba os nossos principais artigos diariamente, por email.

App de videoconferência Zoom

App de vídeoconferência Zoom tem vulnerabilidade grave no macOS [atualizado 2x]

Segundo os desenvolvedores, o problema não é um bug, e sim um recurso — e que permanece na sua máquina mesmo após desinstalar o app

Vulnerabilidades num determinado sistema operacional podem surgir de diversas formas, desde uma falha no próprio sistema até um aplicativo de código mal-escrito ou deficiente. Agora, ver um aplicativo — que não se propõe a ser um malware — deliberadamente instalar uma vulnerabilidade na sua máquina… aí, já estamos falando de um caso bem mais raro.

Publicidade

Foi exatamente a descoberta feita pelo pesquisador de segurança Jonathan Leitschuh envolvendo o aplicativo para macOS do serviço de videoconferências Zoom. Como demonstrado pelo pesquisador numa prova de conceito, o aplicativo do Zoom instala, silenciosamente, um servidor web na máquina; esse servidor roda a todo tempo como um processo de plano de fundo e permite que, com um clique num simples link, qualquer website ative a câmera do Mac e faça o usuário entrar, a qualquer momento, numa chamada de vídeo — mesmo sem ter aceitado isso.

“Essa vulnerabilidade do Zoom é insana. Eu cliquei em um dos links da prova de conceito e fui conectado a três outros usuários aleatórios que também estavam surtando sobre isso em tempo real.”

Mais assustador ainda é notar que o tal servidor permanece no Mac mesmo após a desinstalação do app do Zoom. Segundo os desenvolvedores, a permanência do servidor existe para que você possa reinstalar o utilitário do Zoom sem qualquer trabalho, simplesmente visitando uma página da web; na prática, entretanto, isso significa que a vulnerabilidade resiste até mesmo após a sua fonte ser expurgada. O final do post de Leitschuh no Medium dá os passos para que os usuários eliminem o servidor dos seus Macs, o que requer uma viagem ao Terminal.

Uma forma mais simples — mas menos segura — de se proteger é ir até as configurações do Zoom e marcar a opção “Desligar vídeo ao entrar numa reunião”. Neste caso, o servidor ainda poderá lhe jogar no meio de uma videoconferência com um simples clique num link, mas ao menos sua câmera estará desligada por padrão e você poderá sair daquele ambiente antes que outras pessoas vejam seja lá o que você estiver fazendo em frente ao computador.

Como resolver vulnerabilidade no app de videoconferência Zoom

Leitschuh informou à Zoom sobre o problema no final de março, respeitando a janela de 90 dias comumente acordada para divulgar vulnerabilidades publicamente. O problema é que a empresa não tomou medidas a tempo para corrigir a falha: a Zoom afirmou que o uso do servidor no Mac é uma “solução alternativa” a mudanças implementadas pela Apple no Safari 12, afirmando que, sem ele, os usuários não teriam acesso às ferramentas da empresa, como reuniões com um clique e acesso rápido a conversas.

Após a reação extremamente negativa do público, a Zoom, entretanto, voltou atrás: a empresa afirmou que liberará nos próximos dias uma atualização para o seu aplicativo a qual desativará completamente o servidor suspeito. O update trará ainda um novo desinstalador que removerá completamente o utilitário do Zoom quando solicitado pelo usuário e, por fim, trará ativada por padrão para novos usuários a opção de não ligar o vídeo automaticamente ao entrar numa chamada.

via MacRumors

Atualização 10/07/2019 às 13:59

A Zoom já emitiu a correção ao seu app, eliminando o servidor suspeito e adicionando um desinstalador completo ao utilitário. Usuários do aplicativo podem atualizá-lo imediatamente na sua aba de updates.

Atualização II 10/07/2019 às 19:30

A Zoom não foi a única a tomar medidas para corrigir o comportamento no mínimo questionável do seu app para macOS: a Apple confirmou agora há pouco ao TechCrunch que também emitiu uma atualização de segurança silenciosa para o sistema operacional (por meio do sistema XProtect) a qual remove o servidor malicioso do aplicativo — mesmo que o usuário ainda não tenha atualizado o app em si.

Publicidade

Segundo a Maçã, a atualização não requer qualquer interação por parte do usuário e é aplicada automaticamente, então todos os Macs do mundo deverão estar devidamente protegidos muito em breve.

Que dimensão essa lambança tomou, hein?

Ver comentários do post

Carregando os comentários…
Artigo Anterior
AirPods de segunda geração com o estojo aberto

Analistas preveem novos AirPods à prova d'água ainda em 2019

Próximo Artigo
Steve Jobs apresentando o FaceTime

VirnetX tem mais uma vitória sobre a Apple com revalidação de duas patentes

Posts Relacionados