iProfesional

Grave falla de seguridad permite acceder a la cámara de las Mac sin intervención del usuario

El problema fue detectado en la aplicación para videoconferencias Zoom, muy utilizada en comunicaciones empresariales y profesionales
10/07/2019 - 07:49hs
Grave falla de seguridad permite acceder a la cámara de las Mac sin intervención del usuario

Una peligrosa falla de seguridad detectada en la aplicación para videoconferencias Zoom permite que cualquier sitio web malicioso habilite la cámara de las computadoras Mac sin permiso del usuario.

La falla expone potencialmente a por lo menos 750.000 empresas de todo el mundo que utilizan Zoom para llevar a cabo sus actividades cotidianas. La vulnerabilidad fue descubierta por Jonathan Leitschuh, ingeniero en informática, quien publicó su hallazgo en la plataforma de publicaciones Medium, luego de comunicárselo a la empresa en marzo, y tras constatar que no se tomaron acciones para solucionarlo.

Leitschuh demostró que cualquier sitio web puede abrir una videollamada en una Mac con la aplicación Zoom instalada, sin que el usuario se entere. Esto es posible en parte porque la aplicación instala un servidor web en Macs que acepta peticiones que los navegadores normales no aceptarían.

El autor, incluso, detalla que si se desinstala Zoom, ese servidor web persiste y puede reinstalar el programa sin intervención del usuario. Leitschuh indica que en 2015, Zoom contaba con más de 40 millones de usuarios.

Dado que las Mac representan el 10% del mercado de PC y que Zoom ha tenido un crecimiento significativo desde 2015, "podemos asumir que al menos 4 millones de usuarios de Zoom están en Mac. Herramientas como Zoom, Google Meet o Skype para empresas son un elemento básico de la oficina moderna de hoy en día". "Cualquier vulnerabilidad en una aplicación con tantos usuarios debe ser considerada una amenaza seria para todos ellos", advirtió.

En una declaración al diario digital The Verge y otras publicaciones, Zoom señaló que desarrolló el servidor web local con el fin de ahorrarle al usuario algunos clics, luego de que Apple cambiara su navegador web Safari de manera que los usuarios de Zoom tuvieran que confirmar que desean iniciar el programa cada vez.

La empresa defendió la "solución provisional" como una "solución legítima para una mala experiencia de usuario, que permite a nuestros usuarios tener reuniones sin fisuras y con un solo clic para unirse a ellas, que es nuestro principal diferenciador de producto".

SI bien la compañía no tiene previsto una solución para la falla de seguridad más allá de depender de que los usuarios apaguen sus cámaras de forma predeterminada, Leitschuh publicó en su escrito algunas maneras de protegerse, incluyendo la manera de deshabilitar el servidor web que instala la aplicación.

Temas relacionados