Foto: Alex Cranz (Gizmodo)

El investigador de seguridad Jonathan Leitschuh ha descubierto una vulnerabilidad tipo Zero-Day en el software de videoconferencias Zoom en los equipos Mac. El fallo se aprovecha de la función de unirse a una llamada de voz mediante enlace para instalar un servidor web local en segundo plano. En esencia, esto permite a un sitio web malicioso forzar al equip0 a unirse a una videollamada sin el permiso del usuario a menos que activemos una opción concreta.

A√ļn peor. Leitschuh explica que el servidor local persiste incluso aunque desinstalemos la aplicaci√≥n y es capaz de reinstalar el software de manera remota. El investigador se puso en contacto con la compa√Ī√≠a y al parecer sus responsables ha hecho muy poco por solucionar el problema.

En un post publicado en Medium el lunes, Leitschuh mostr√≥ una demostraci√≥n del fallo en forma de enlace (este enlace, si tienes curiosidad). Al pulsarlo, los usuarios que tienen instalada la aplicaci√≥n son inmediatamente introducidos sin su permiso en una sala de videoconferencias con la c√°mara activada. el investigador explica que el c√≥digo para hacer esto puede integrarse f√°cilmente en cualquier p√°gina web o incluso en anuncios maliciosos o campa√Īas de phising. Si desinstalas la aplicaci√≥n, la vulnerabilidad puede reinstalarla por ti sin siquiera pedirte permiso o informarte.

Advertisement

La vulnerabilidad permite todo tipo de usos maliciosos. Como apuntan en The Verge:

Que el fallo permita encender la c√°mara ya es malo, pero la existencia de un servidor web en el equipo es una puerta abierta a problemas a√ļn peores para los Mac. En una de las versiones viejas de la app, por ejemplo (que ahora est√° parcheada) es posible ejecutar un ataque DoS contra el equipo simplemente oblig√°ndole a hacer ping una y otra vez en la misma p√°gina. Simplemente envi√°ndole peticiones podemos obligar al sistema operativo a centrarse en ese proceso.

Advertisement

Leitschuh se puso en contacto con Zoom el pasado 26 de marzo avisando de que har√≠a p√ļblica la vulnerabilidad en un plazo de 90 d√≠as. La compa√Ī√≠a lanz√≥ un parche r√°pido que desactiva la funci√≥n que permite a la persona que organiza la reuni√≥n activar las c√°maras de los participantes por defecto. Este parche lleg√≥ a mediados de junio y dista mucho de ser una soluci√≥n porque no impide la posibilidad de que un atacante fuerce al equipo a conectarse.

En julio un cambio en el código hizo que la vulnerabilidad dejara de funcionar, pero aunque Zoom lanzó otro parche este pasado domingo, el investigador encontró una manera muy sencilla de sortearlo.

Advertisement

Solucionar la vulnerabilidad

Para atajar el problema, Leitschuh recomienda a los usuarios que tengan la aplicaci√≥n instalada que actualicen a la √ļltima versi√≥n y que despu√©s accedan a los ajustes para marcar la opci√≥n ‚ÄúDesactivar mi v√≠deo cuando entre a una reuni√≥n‚ÄĚ como se aprecia en la captura sobre estas l√≠neas. En su post, el investigador tambi√©n proporciona una serie de comandos de Terminal que pueden desactivar el servidor web local de manera que la aplicaci√≥n no se vuelva a instalar. Leitschuh explica:

En mi opini√≥n, las p√°ginas web no deber√≠an crear aplicaciones de escritorio como esta. Los navegadores tienen entornos seguros que se usan precisamente para prevenir la ejecuci√≥n de c√≥digo en el equipo del usuario. Crear un servidor web que acerpta peticiones HTTP GET para ejecutarlas fuera de este sandbox es pintarse una diana enorme en la espalda. En 2015, Zoom ten√≠a m√°s de 40 millones de usuarios. Teniendo en cuenta que los Mac son el 10% del mercado total de PC y que la cifra probablemente haya crecido es seguro que ahora mismo hay unos 4 millones de usuarios de Zoom en Mac. Para poder proteger a esos usuarios creo que la √ļnica soluci√≥n es eliminar esa soluci√≥n basada en un servidor web.

Advertisement

En unas declaraciones a Cnet, Zoom ha escrito que tiene preparada un parche para Safari y mantiene que el uso de servidor web es una soluci√≥n leg√≠tima que elimina la mala experiencia de uso y permite a los usuarios tener videoconferencias fluidas con un solo click. Para la compa√Ī√≠a, ese es precisamente su ventaja diferenciadora respecto a otros servicios y que es responsabilidad de los usuarios desactivar el v√≠deo en sus reuniones. [ZDnet/The Verge]