2019/07/09

App de videoconferência Zoom deixa sites activarem câmara e permanece mesmo depois de desinstalada


A popular app de videoconferência Zoom para Macs permite que um site possa adicionar um utilizador automaticamente a uma chamada com a câmara activada assim que o utilizador abra uma página; e ainda por cima permanece activa no computador mesmo depois do utilizador pensar que a desinstalou.

A app Zoom está metida numa grande confusão, que é complicada pelo facto de não se tratarem apenas de falhas graves de segurança, mas de serem também opções que a empresa parece querer manter. O investigador de segurança Jonathan Leitschuh descobriu questões preocupantes referentes à app Zoom nos Macs - e conta-nos também como a empresa parecia não ter qualquer interesse em resolvê-las, considerando que não eram verdadeiramente problemas.

A app cria um servidor local nos Macs que passa a aceitar comandos de qualquer site que se visita, permitindo que um qualquer site aleatório possa automaticamente adicionar o visitante a uma videochamada com a câmara activada. Para piorar, esse mesmo servidor permanece mesmo quando se desinstala a app(!), permitindo que a app seja reinstalada automaticamente assim que se clique num link de uma chamada de vídeo.



Por agora tudo o que os utilizadores podem fazer para minimizarem o risco é activarem a opção que desactiva a câmara quando se juntam a uma chamada; mas isso não evitará que continuem a ser adicionados a chamadas automaticamente e que atacantes possam escutar o que dizem. Também não resolve a questão da desinstalação completa da app, que obriga os utilizadores a parar manualmente o servidor local e remover efectivamente todos os restos da app.

Entretanto, a Zoom já fez um comunicado oficial que, na pior tradição de "falar, falar, sem dizer nada", demonstra que parece não estar minimamente preocupada com o facto de qualquer site poder atirar automaticamente os seus utilizadores para chamadas indesejadas; nem tão pouco faz qualquer referência à questão de parte da app permanecer nos computadores mesmo depois de ter sido supostamente desinstalada.


Actualização: Nada como um pouco de polémica para rever posições. A Zoom diz que irá remover por completo o servidor local, e também permitir a desinstalação total da app.

Actualização 2: A Apple lançou uma actualização que remove o servidor local.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]