El investigador de seguridad Jonathan Leitschuh ha descubierto una vulnerabilidad tipo Zero-Day en el software de videoconferencias Zoom en los equipos Mac. El fallo se aprovecha de la función de unirse a una llamada de voz mediante enlace para instalar un servidor web local en segundo plano. En esencia, esto permite a un sitio web malicioso forzar al equip0 a unirse a una videollamada sin el permiso del usuario a menos que activemos una opción concreta.
Aún peor. Leitschuh explica que el servidor local persiste incluso aunque desinstalemos la aplicación y es capaz de reinstalar el software de manera remota. El investigador se puso en contacto con la compañía y al parecer sus responsables ha hecho muy poco por solucionar el problema.
En un post publicado en Medium el lunes, Leitschuh mostró una demostración del fallo en forma de enlace (este enlace, si tienes curiosidad). Al pulsarlo, los usuarios que tienen instalada la aplicación son inmediatamente introducidos sin su permiso en una sala de videoconferencias con la cámara activada. el investigador explica que el código para hacer esto puede integrarse fácilmente en cualquier página web o incluso en anuncios maliciosos o campañas de phising. Si desinstalas la aplicación, la vulnerabilidad puede reinstalarla por ti sin siquiera pedirte permiso o informarte.
La vulnerabilidad permite todo tipo de usos maliciosos. Como apuntan en The Verge:
Que el fallo permita encender la cámara ya es malo, pero la existencia de un servidor web en el equipo es una puerta abierta a problemas aún peores para los Mac. En una de las versiones viejas de la app, por ejemplo (que ahora está parcheada) es posible ejecutar un ataque DoS contra el equipo simplemente obligándole a hacer ping una y otra vez en la misma página. Simplemente enviándole peticiones podemos obligar al sistema operativo a centrarse en ese proceso.
Leitschuh se puso en contacto con Zoom el pasado 26 de marzo avisando de que haría pública la vulnerabilidad en un plazo de 90 días. La compañía lanzó un parche rápido que desactiva la función que permite a la persona que organiza la reunión activar las cámaras de los participantes por defecto. Este parche llegó a mediados de junio y dista mucho de ser una solución porque no impide la posibilidad de que un atacante fuerce al equipo a conectarse.
En julio un cambio en el código hizo que la vulnerabilidad dejara de funcionar, pero aunque Zoom lanzó otro parche este pasado domingo, el investigador encontró una manera muy sencilla de sortearlo.
Solucionar la vulnerabilidad
Para atajar el problema, Leitschuh recomienda a los usuarios que tengan la aplicación instalada que actualicen a la última versión y que después accedan a los ajustes para marcar la opción “Desactivar mi vídeo cuando entre a una reunión” como se aprecia en la captura sobre estas líneas. En su post, el investigador también proporciona una serie de comandos de Terminal que pueden desactivar el servidor web local de manera que la aplicación no se vuelva a instalar. Leitschuh explica:
En mi opinión, las páginas web no deberían crear aplicaciones de escritorio como esta. Los navegadores tienen entornos seguros que se usan precisamente para prevenir la ejecución de código en el equipo del usuario. Crear un servidor web que acerpta peticiones HTTP GET para ejecutarlas fuera de este sandbox es pintarse una diana enorme en la espalda. En 2015, Zoom tenía más de 40 millones de usuarios. Teniendo en cuenta que los Mac son el 10% del mercado total de PC y que la cifra probablemente haya crecido es seguro que ahora mismo hay unos 4 millones de usuarios de Zoom en Mac. Para poder proteger a esos usuarios creo que la única solución es eliminar esa solución basada en un servidor web.
En unas declaraciones a Cnet, Zoom ha escrito que tiene preparada un parche para Safari y mantiene que el uso de servidor web es una solución legítima que elimina la mala experiencia de uso y permite a los usuarios tener videoconferencias fluidas con un solo click. Para la compañía, ese es precisamente su ventaja diferenciadora respecto a otros servicios y que es responsabilidad de los usuarios desactivar el vídeo en sus reuniones. [ZDnet/The Verge]