Kwetsbaarheid in videobel-app Zoom laat websites inbreken in Mac-camera
Update 10 juli: Zoom zegt het probleem opgelost te hebben met een noodpatch. Het bedrijf maakt daarmee een plotselinge omslag, want eerder vonden ze de kwetsbaarheid een laag risico. De fix zorgt ervoor dat de lokale webserver volledig weg wordt gehaald zodra de Zoom-client is bijgewerkt.
Lees ook: Hoe veilig is Zoom en hoe zit het met privacy?
Hieronder volgt ons oorspronkelijke artikel.
Kwetsbaarheid in videobel-app Zoom op de Mac
Zoom is een videobel-app die vooral zakelijk veel gebruikt wordt. Met de app kun je videoconferenties houden, bijvoorbeeld voor werkoverleg of voor het op afstand geven van een cursus. De nieuwe kwetsbaarheid is ontdekt door beveiligingsonderzoeker Jonathan Leitschuh en is alleen te vinden in de Mac-versie van de app. Opmerkelijk is dat de kwetsbaarheid zelfs aanwezig is als je de app verwijderd hebt.
Zodra je Zoom op je Mac installeert, wordt er in feite een web server geïnstalleerd. Hierdoor zijn er verzoeken mogelijk die via een normale browser niet mogelijk zijn. Zoom geeft aan dat ze dit gedaan hebben, zodat gebruikers niet elke keer toestemming hoeven te geven om Zoom te starten. Het gevolg hiervan is dat je met één klik deel kan nemen aan een gesprek, maar dit brengt dus wel deze kwetsbaarheid met zich mee. Het proces draait op de achtergrond, waardoor een website kan forceren dat de gebruiker deelneemt aan een gesprek. Hierdoor wordt ook de camera automatisch gestart.
https://twitter.com/mathowie/status/1148391109824921600
Als je Zoom verwijderd, blijft de webserver achter op je Mac. Hierdoor kan Zoom ook automatisch weer geïnstalleerd worden. De enige manier om de app compleet te verwijderen, is via een Terminal-commando die de onderzoeker in zijn Medium-post uitlegt. Het is via een instelling in de app ook mogelijk om de camera uit te zetten zodra je deelneemt aan een gesprek.
De onderzoeker heeft de kwetsbaarheid al in maart aan de makers doorgegeven, maar het probleem is nog niet opgelost. Wil je meer weten over de technische achtergrond van deze kwetsbaarheid, dan lees je hier meer over in de Medium-post van de ontdekker.
- 2019 - 10 juli: Maatregelen van Zoom toegevoegd aan artikel.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- 'Release MacBook Air M4 mogelijk al vroeg in 2025' (24-12)
- Onze favorieten van 2024: Mac mini M4 (23-12)
- Publieke beta 1 van macOS Sequoia 15.3 beschikbaar voor ontwikkelaars (18-12)
- Dit zijn de nieuwe functies in macOS Sequoia 15.2 (12-12)
- macOS Sequoia 15.2 nu te downloaden: dit is er nieuw (11-12)
Reacties: 4 reacties